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常用 的 技术 进行 了 深入 浅 出 的 讲解 ,可 以 帮助 读者 快速 掌握 最 基本 的 计算 机 网 络 安全 技术 ,打造 安全 、 可 
靠 的 企业 网 络 环境 。 

本 书 既 可 作为 培养 21 世纪 计算 机 网 络 安全 工程 师 的 学 习 教 材 , 同 时 也 是 从 事 计 算 机 网 络 安全 的 规 
划 、 设 计 、 管 理 和 应 用 集成 的 专业 技术 人 员 的 必 备 工具 书 。 
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,PREFACE 


近年 来 ,计算 机 网 络 在 我 国 已 经 得 到 了 较 快 的 发 展 。 许 多 企业 、 事 业 单 位 , 行 
政 机 关 、 司 法 机 构 和 金融 系统 构建 了 高 速 的 办 公 专用 网 。 各 种 类 型 的 计算 机 网 络 
高 达 数 十 万 个 ,计算 机 网 络 已 经 深入 到 我 们 工作 .生活 和 学 习 的 方方面面 。 

毫 无 疑问 ,大 量 的 网 络 必 然 需 要 大 量 的 网 络 管理 人 才 。 初 步 估 计 , 到 目前 为 
止 , 仅 我 国 每 年 需要 的 网 络 管理 人 才 就 达 十 余 万 人 。 随 着 网 络 应 用 的 日 益 深入 以 
及 网 络 所 承载 的 业务 量 和 数据 量 的 不 断 增 长 ,网 络 的 重要 性 和 安全 性 也 将 与 日 俱 
增 , 对 网 络 管理 人 员 的 需求 也 将 随 之 不 断 地 增长 。 由 此 可 见 , 网 络 管理 是 一 个 稳定 
且 前 途 远大 的 职业 。 

综观 现 有 的 网 络 技术 培养 教材 ,大 多 将 网 络 技术 进行 条 块 分 割 , 按 章节 、 分 模 
块 独立 讲授 ,人 为 地 将 紧密 联系 在 一 起 的 各 种 理论 和 技术 分 裂 开 来 。 这 样 所 带 来 
的 问题 就 是 ,学 生 必须 将 所 学 的 知识 和 理论 全 部 融会 贯通 之 后 ,才能 初步 掌握 作为 
一 个 网 络 技术 人 员 所 必须 具备 的 一 些 基本 技能 ,显然 这 不 符合 学 生 的 学 习 规律 ,也 
不 符合 现实 的 网 络 管 理 实 际 ,同时 ,也 是 导致 许多 网 络 爱 好 者 望而却步 的 重要 
原因 。 

本 丛书 具有 以 下 特点 。 

(1) 案例 贯穿 。 本 丛书 从 最 常见 .最 典型 的 网 络 应 用 情境 和 需求 入 手 , 围 绕 统 
一 的 网 络 环境 、 统 一 的 网 络 规划 、 统 一 的 网 络 拓扑 、 统 一 的 资源 分 配 、 统 一 的 网 络 用 
户 和 统一 的 网 络 需求 ,提供 全 面 的 网 络 解决 方案 ,以 及 实用 、 够 用 的 网 络 技术 ,为 网 
络 工程 师 提 供 宝典 级 别 的 现场 技术 手册 。 

(2) 项 目 驱动 。 本 丛书 由 情境 导入 需求 ,以 项 目 进行 教学 ,再 由 实 训 实现 强 
化 ,进而 达到 培养 技能 的 目的 ,最 终 使 学 生 顺 利 就 业 。 按 照 网 络 构建 的 工作 过 程 系 
统 化 课程 开发 ,以 真实 的 网 络 管理 过 程 为 导向 规划 课程 内 容 ,使 读者 能 够 真正 掌握 
网 络 构建 与 管理 的 知识 和 技能 ,独立 完成 相关 的 网 络 技术 项 目 。 

(3) 贴近 实战 。 本 丛书 突出 “ 先 做 后 学 , 边 做 边 学 ”的 主旨 ,通过 “ 练 中 求学 ,学 
中 求 练 , 练 学 结合 、 边 练 边 学 ”的 教学 内 容 安 排 ,实现 “学 得 会 ,用 得 上 ”的 最 终 目的 。 
由 于 全 书 围绕 统一 的 典型 网 络 工 程 展开 ,因此 ,读者 能 够 非常 方便 地 将 教学 案例 移 
植 到 真实 的 网 络 项 目 中 ,学 为 所 用 ,学 以 致 用 。 

(4) 内 容 全 面 。 本 丛书 涵盖 了 作为 初 ,中 级 网 络 管理 员 必 须 掌 握 的 所 有 理论 
和 技术 ,以 网 络 管理 的 实际 需求 为 导向 ,以 培养 基本 技能 为 目的 ,将 枯燥 的 理论 融 
于 实际 操作 中 ,从 而 使 学 生 学 得 会 .记得 住 . 用 得 上 。 

(5) 兴趣 教学 。 本 丛书 设计 的 教学 内 容 按照 “案例 情景 一 需求 分 析 一 解决 方 
案 一 技术 操作 一 理论 背景 的 结构 进行 组 织 , 有 实际 案例 ,有 动手 操作 .有 理论 分 
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析 , 可 以 激发 读者 的 学 习 兴 趣 和 学 习 的 主动 性 ,培养 读者 解决 实际 问题 的 能 力 , 提 高 读者 的 

综合 实战 水 平 。 
(6) 注重 动手 。 本 丛书 加 大 了 动手 操作 的 比重 ,减弱 了 理论 知识 的 介绍 ,以 适应 特定 的 

读者 群 ,体现 “做 中 学 ”的 宗旨 。 借 助 大 量 的 网 络 实验 ,可 以 使 读者 迅速 提高 技术 和 技能 。 

(7) 涵盖 认证 。 本 丛书 充分 考虑 到 了 网 络 管理 员 的 职业 需求 及 职业 资格 认证 要 求 ,在 
内 容 安 排 和 习题 设置 上 与 相关 认证 紧密 结合 ,基本 涵盖 了 国内 认证 (网 络 管理 员 、 网 络 工程 
师 ) 和 国际 认证 (MCSE、CCNA) 所 涉及 的 理论 和 知识 技能 ,以 帮助 学 生 获取 “ 双 证 书 ” 一 一 学 
历 证 书 和 职业 资格 证 书 , 增 强 学 生 的 就 业 竞 争 力 。 

(8) 资深 作者 。 本 丛书 作者 全 部 来 源 于 网 络 教学 网络 管 理 和 网 络 工程 第 一 线 , 具 有 非 
常 丰富 的 网 络 设计 、 施 工 和 管理 经 验 , 既 掌握 理论 技术 ,又 通晓 实际 操作 。 作 者 们 做 了 大 量 
的 技术 需求 和 人 才 需 求 调研 ,多 次 修改 提纲 以 使 其 更 加 符合 网 络 搭建 和 管理 实际 。 

(9) 深度 支持 。 本 丛书 不 仅 提供 优秀 的 纸 质 教材 ,还 为 教师 提供 了 电子 课件 和 全 方位 
的 技术 支持 ,同时 设置 有 QQ 群 在 线 答疑 .E-mail 离线 交流 和 BBS 论坛 互动 平台 ,并 为 读者 
提供 网 络 构建 方案 和 配置 技术 咨询 ,形成 一 个 让 师 生 更 加 方便 、 更 加 自主 学 习 的 教学 环境 ， 
有 效 地 提升 了 教师 授课 和 学 生 学 习 的 能 力 。 

本 丛书 删 繁 就 简 ,围绕 一 个 典型 的 网 络 工程 展开 理论 和 技术 讲解 , 襄 括 了 网 络 布线 、 网 
络 搭建 、 网 络 管理 ,网 络 服 务 、 网 络 安全 数据 存储 等 各 种 组 网 、 管 网 和 用 网 技术 。 因 此 ,读者 
学 完 本 套 丛 书后 ,可 以 直接 将 其 应 用 至 自己 的 工作 实践 。 即 使 是 初学 者 ,只 要 熟悉 
Windows 的 一 般 操作 ,就 能 非常 容易 地 上 手 ,迅速 成 长 为 一 名 合格 的 网 络 管理 员 。 


刘 晓 辉 
2010 年 6 月 
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随 着 信息 化 进程 的 推进 ,几乎 所 有 的 企 事 业 单 位 都 有 自己 的 网 络 ,而 由 此 产生 
的 网 络 管理 人 才 的 需求 缺口 正在 逐年 扩大 。 据 相关 部 门 统计 ,2009 年 网 络 管理 人 
才 缺 口 达到 13, 5 万 人 ,许多 企业 不 惜 重 金 ,招募 一 名 出 色 的 网 络 管理 人 员 。 随 着 
网 络 应 用 的 不 断 拓展 ,企业 发 展 对 计算 机 网 络 的 依赖 性 将 越 来 越 强 ,而 掌握 大 量 精 
尖 网 络 技术 的 人 才 也 会 变 得 越 来 越 受 欢迎 。 为 什么 在 如 此 光明 的 就 业 形势 下 , 却 
经 常 听 到 网 络 管理 员 的 工资 只 有 几 百 元 呢 ? 原 因 很 简单 ,企业 真正 需要 的 网 络 管 
理 员 是 能 够 独当一面 的 专业 人 员 。 向 网 络 工 程 师 晋 升 ,是 摆 在 网 络 管理 员 面前 的 
唯一 出 路 。 

本 套 从 书 作 为 网 络 工程 师 培 训 教 材 ,以 实际 的 公司 网 络 为 案例 ,以 打造 实用 的 
网 络 工 程 为 目标 ,以 实用 和 技能 为 主 , 握 弃 了 复杂 的 原理 ,以 简明 的 操作 为 引导 , 通 
俗 易 懂 , 上 手 容 易 。 读 者 只 需 按 照 书 中 的 操作 来 学 习 , 就 能 掌握 相应 的 技能 ,学 完 
全 套 书 之 后 , 即 可 掌握 大 部 分 的 网 络 知识 。 

计算 机 网 络 技术 的 应 用 虽然 加 速 了 企业 发 展 的 步伐 ,但 随 之 而 来 的 安全 问题 ， 
也 时 刻 威胁 着 企业 的 根本 利益 。 近 年 来 ,企业 网 站 遭 到 算 改 ,病毒 泛滥 成 灾 , 商 业 
机 密 失窃 ,企业 网 络 瘫痪 ,各 种 高 科技 信息 犯罪 活动 正在 严重 危害 着 社会 的 发 展 和 
企业 的 生存 。 本 书 以 中 小 型 企业 的 计算 机 网 络 安全 为 例 ,全 面 、 系 统 地 介绍 了 企业 
网 络 的 安全 建设 , 旨 在 帮助 企业 打造 安全 、 可 靠 、 高 效 \、 便 捷 的 计算 机 网 络 。 

全 书 内 容 共 分 为 13 章 ,技术 操作 与 需求 目标 紧密 结合 ,并 对 应 用 到 的 新 技术 
以 “知识 链接 ”的 方式 加 以 剖析 。 第 1 章 网 络 安全 规划 ,从 整个 网 络 的 安全 管理 任 
务 出 发 ,对 整个 网 络 项 目的 安全 需求 进行 全 面 分 析 和 规划 。 第 2 章 Windows 系统 
安全 ,以 Windows Server 2008 为 例 介 绍 服 务 器 系统 安全 ,包括 常规 安全 配置 、 系 
统 漏洞 安全 ,管理 员 账户 安全 等 。 第 3 章 网 络 服务 安全 ,介绍 常用 网 络 服务 的 安 
全 ,包括 活动 目录 服务 .WWW 服务 .FTP 服务 等 的 安全 配置 与 管理 。 第 4 章 文件 
权限 管理 ,介绍 AD RMS IRM 文件 权限 保护 技术 在 企业 网 络 中 的 应 用 和 配置 。 
第 5 章 网 络 病毒 防御 ,以 Symantec 网 络 防 病毒 系统 为 例 , 介 绍 局 域 网 防 病毒 系统 
的 部 署 与 应 用 。 第 6 章 系统 补丁 更 新 ,介绍 如 何 通过 WSUS 服务 器 实现 企业 网 络 
中 计算 机 的 系统 补丁 管理 。 第 7 章 Cisco IOS 安全 ,介绍 常用 Cisco 网 络 设备 基 
于 IOS 的 安全 ,包括 交换 机 、 路 由 器 、 无 线 AP 的 安全 配置 。 第 8 章 局 域 网 接 入 安 
全 认证 ,介绍 如 何 通 过 “Cisco ACS + Active Directory” 模 式 实现 网 络 设备 接 入 的 
802. 1x 身份 验证 。 第 9 章 Internet 接 入 安全 ,介绍 如 何 通 过 Forefront TMG 实现 
局 域 网 共享 接 入 、 安 全 防护 以 及 内 网 服务 器 的 发 布 。 第 10 章 远程 接 入 安全 ,介绍 
远程 接 入 VPN 技术 在 企业 网 络 中 的 应 用 ,包括 IPSec VPN、SSL VPN 的 部 署 与 测 


V 


计算 机 网 络 赤 全 


试 等 。 第 11 章 网 络 访问 保护 ,介绍 NAP 技术 的 部 署 及 应 用 ,包括 IPSec 强制 技术 、802. 1x 强 
制 技术 、VPN 强制 技术 以 及 DHCP 强制 技术 的 实施 。 第 12 章 安全 设备 规划 与 配置 ,介绍 企 
业 网 络 中 常用 安全 设备 的 规划 与 部 署 ,包括 Cisco ASA、IPS、IDS 等 。 第 13 章 配置 网 络 可 靠 
性 ,介绍 通过 故障 转移 群集 和 网 络 负载 均衡 技术 ,以 及 网 络 设备 的 链 路 宛 余 技术 提高 企业 网 
络 的 可 靠 性 。 

为 了 让 读者 更 深入 地 了 解 所 学 的 知识 ,在 每 章 的 最 后 还 配备 了 习题 和 实验 ,从 而 可 以 起 
到 复习 和 测验 的 作用 ,能 使 读者 尽快 迈 向 网 络 工程 师 的 行列 。 

本 书 可 作为 大 中 专 院 校 计算 机 网 络 专业 的 教材 ,也 可 作为 中 小 型 网 络 管理 员 、 网 络 工程 
技术 人 员 和 网 络 爱好 者 的 参考 书 。 

本 丛书 由 刘 晓 辉 、 张 运 凯 、 李 福 亮 主编 。 本 书 由 王 文 斌 、 王 歼 玲 等 编著 。 具 体 分 工 如 下 : 
王 文 斌 编写 了 第 1 一 4 章 , 王 黎 玲 编写 了 第 5~8 章 , 李 文俊 编写 了 第 9~10 章 , 王 同 明 编写 
了 第 11 章 , 石 长 征 编写 了 第 12 章 , 郭 腾 编 写 了 第 13 章 。 编 者 长 期 从 事 系统 维护 和 网 络 管 
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网 络 安全 规划 


随 着 计算 机 应 用 的 日 益 普及 ,网 络 已 经 成 为 大 多 数 企 业 的 重要 组 成 部 分 ,许多 常规 办 公 
应 用 已 经 开始 转向 网 络 , 例 如 企业 办 公 、 视 频 会 议 、 合 作 伙 伴 沟通 等 。 随 之 而 来 的 网 络 安 全 
问题 ,也 就 成 为 制约 企业 生存 与 发 展 的 命脉 。 网 络 安全 建设 的 总 体 思路 是 : 以 信息 资产 为 核 
心 , 以 安全 战略 为 指导 ,根据 安全 需求 逐步 完善 安全 基础 设施 ,为 网 络 应 用 提供 安全 能 力 支持 。 


1.1 项 目 背景 


某 高 新 产品 研发 企业 拥有 员工 2000 余人 ,公司 总 部 坐落 在 省 会 城市 高 新 技术 开发 区 ， 
包括 4 个 生产 车 间 和 两 栋 职工 宿舍 楼 ,产品 展示 、 技 术 开发 与 企业 办 公 均 在 智能 大 厦 中 进 
行 。 该 企业 在 外 地 男 开设 有 两 家 分 公司 ,由 总 公司 进行 统一 管理 和 部 署 。 目 前 ,该 企业 网 络 
的 拓扑 结构 如 图 1-1 所 示 ,基本 情况 如 下 。 

(1) 公司 局 域 网 已 经 基本 覆盖 整个 厂区 ,中 心机 房 位 于 智能 大 厦 的 第 3 层 ( 共 15 层 )， 
职工 宿舍 楼 和 生产 车 间 均 有 网 络 覆 盖 。 

(2) 网 络 拓扑 结构 为 “ 星 型 十 树 型 ”, 接 入 层 交换 机 为 Cisco Catalyst 2960 ,汇聚 层 交 换 
机 为 Cisco Catalyst 3750 ,核心 层 交 换 机 为 Cisco Catalyst 6509。 

(3) 现 有 接 人 用 户 数量 为 500 个 ,客户 端 均 使 用 私有 IP 地 址 ,通过 防火 墙 或 代理 服务 
器 接 人 Internet。 部 分 服务 器 IP 地 址 为 共有 IP 地 址 。 

(4) Internet 接 人 区 的 防火 墙 主要 提供 VPN 接 入 功能 ,用 于 为 远程 移动 用 户 或 子 公司 
网 络 提供 远程 安全 访问 。 

(5) 会 议 室 、 产 品 展示 大 厅 等 公共 场所 部 署 无 线 接 入 点 ,实现 随时 随地 无 线 漫游 接 入 。 

(6) 服务 器 操作 系统 平台 多 为 Windows Server 2003 和 Windows Server 2008 系统 。 
客户 端 系统 为 Windows XP Professional 和 Windows Vista。 

(7) 网 络 中 部 署 有 Web 服务 器 ,为 企业 网 站 提供 运行 平台 。 

(8) 企业 网 络 办 公平 台 为 WSS, 文 件 服务 器 可 以 为 智能 大 厦 的 办 公用 户 提供 文件 共 
享 、 存 储 与 访问 。 

(9) E-mail 用 于 员工 之 间 的 彼此 交流 ,以 及 企业 与 外 界 的 通信 联络 。 

(10) 打印 服务 和 传真 服务 主要 满足 智能 大 厦 用 户 网 络 办 公 的 应 用 。 

(11) 企业 分 支 结构 通过 VPN 方式 远程 接 人 总 部 局 域 网 ,并 且 可 以 访问 网 络 中 的 共享 
资源 。 
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在 普通 小 型 局 域 网 中 ,最 常用 的 安全 防护 手段 就 是 在 路 由 器 后 部 署 一 道 防火 墙 ,甚至 安 
全 需求 较 低 的 网 络 并 无 硬件 防火 墙 .只 是 在 路 由 器 和 交换 机 上 进行 简单 的 访问 控制 与 数据 
包 筛 选 机 制 就 可 以 了 。 但 是 ,在 该 企业 网 络 中 ,许多 重要 应 用 都 要 依赖 网 络 ,势必 对 网 络 安 
全 性 的 要 求 要 高 一 些 , 在 部 署 网 络 安全 设备 的 同时 ,必须 辅助 多 种 访问 控制 与 安全 配置 措 
施 , 加 固 网 络 安 全 。 


1.2.1 安全 设备 分 布 


1. 防火 墙 

由 于 企业 局 域 网 采用 以 太 网 接 入 方式 ,所 以 直接 使 用 防火 墙 充 当 接 入 设备 ,部 署 在 网 络 
边缘 ,防火 墙 连 接 的 内 网 路 由 器 上 配置 访问 列表 和 静态 路 由 信息 。 另 外 ,在 会 议 室 、 产 品 展 
示 厅 等 公共 环境 中 的 汇聚 交换 机 和 核心 交换 机 之 间 部 署 硬件 防火 墙 ,防止 公共 环境 中 可 能 
存在 的 安全 风险 通过 核心 设备 传播 到 整个 网 络 。 

2. IPS 

IPS(Intrusion Prevention System, 人 侵 防 御 系统 ) 部 署 在 Internet 接 人 区 的 路 由 器 和 
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核心 交换 机 之 间 , 用 于 扫描 所 有 来 自 Internet 的 信息 ,以 便 及 时 发 现 网 络 攻击 和 制定 解决 
方案 。 

3. IDS 

IDS(Intrusion Detection System, 和 人 侵 检 测 系统 ) 本 身 是 一 个 典型 的 探测 设备 ,类 似 于 
网 络 嗅 探 器 ,无 须 转发 任何 流量 ,而 只 需要 在 网 络 上 被 动 地 ,无 声息 地 收集 相应 的 报 文 即 可 。 
IDS 无 法 跨越 物理 网 段 收集 信息 ,只 能 收集 所 在 交换 机 的 某 个 端口 上 的 所 有 数据 信息 。 该 
网 络 中 的 IDS 部 署 在 安全 需求 最 高 的 服务 器 区 ,用 于 实时 侦 测 服务 器 区 交换 机 转发 的 所 有 
信息 。 对 收集 来 的 报 文 ,IDS 将 提取 相应 的 流量 统计 特征 值 ,并 利用 内 置 的 人 侵 知 识 库 ,与 
这 些 流 量 特征 进行 智能 分 析 比 较 匹 配 。 根 据 默认 的 阔 值 ,匹配 耦合 度 较 高 的 报 文 流量 将 被 
认为 是 进攻 ,IDS 将 根据 相应 的 配置 进行 报警 或 进行 有 限度 的 反击 。 

4. Cisco Security MARS 

Cisco Security MARS(Monitoring Analysis and Response System) 是 基于 设备 的 全 方 
位 解决 方案 ,是 网 络 安全 管理 的 关键 组 成 部 分 。MARS 可 以 自动 识别 ,管理 并 抵御 安全 威 
胁 , 它 能 与 现 有 网 络 和 安全 部 署 协作 ,自动 识别 并 隔离 网 络 威胁 ,同时 提供 准确 的 清除 建议 。 
在 本 例 企业 网 络 中 ,MARS 直接 连接 在 核心 交换 机 上 ,用 于 收集 经 过 核心 交换 机 的 所 有 数 
据 信息 ,自动 生成 状态 日 志 , 供 管理 员 调 阅 。 


1.2.2 网 络 设备 安 全 现状 


当前 网 络 中 的 交换 机 、 路 由 器 等 网 络 设备 全 部 都 是 可 网 管 的 智能 设备 ,并 且 提 供 Web 
管理 方式 ,同时 配置 了 基本 的 安全 防御 措施 ,如 登录 密码 .用户 账户 权限 等 。 

1. 交换 机 和 路 由 器 安全 配置 

交换 机 的 主要 功能 就 是 提供 网 络 接 入 所 需 的 接口 。 目 前 ,该 网 络 中 基于 交换 机 的 安全 
管理 仅 限于 VLAN 划分 .Enable 密码 和 Telnet 密码 等 基本 安全 措施 ,并 未 进行 任何 高 级 安 
全 配置 ,如 流量 控制 .远程 监控 IEEE 802. 1x 安全 认证 等 ,存在 较 大 的 安全 隐患 。 

企业 网 络 采 用 以 太 网 接 入 Internet, 而 网 络 中 部 署 的 网 络 防火 墙 已 具备 接 入 功能 ,所 以 
该 网 络 中 的 路 由 器 上 只 配置 了 简单 的 静态 路 由 ,访问 控制 列表 和 网 络 地 址 转换 ,可 以 满足 基 
本 的 安全 需求 。 

2. 办 公设 备 安全 配置 

企业 网 络 中 的 集中 办 公设 备 包括 打印 机 和 传真 机 , 均 支 持 网 络 接 入 功能 ,部 署 在 楼 层 的 
集中 办 公 区 。 由 于 缺乏 访问 权限 控制 措施 ,致使 网 络 打 印 机 和 传真 机 被 滥用 ,造成 不 必要 的 
资源 浪费 。 另 外 ,用 户 计算 机 到 打印 机 之 间 的 数据 传输 是 未 经 加 密 的 明文 ,存在 一 定 的 安全 
隐患 。 


1.2.3 服务 器 部 署 现状 


网 络 中 的 应 用 服务 器 包括 域 控制 器 、\DHCP 服务 器 文件 服务 器 、 打 印 服务 器 传真 服 
务 器 、 网 络 办 公平 台 、 数 据 库 服务 器 等 ,其 中 有 多 种 网 络 服务 合用 一 台 服 务 器 ,网 络 中 共有 服 
务 器 10 台 ,通过 单独 的 交换 机 高 速 连接 至 核心 交换 机 ,完全 采用 链 路 宛 余 结束 双 线 连接 , 确 
保 连 接 的 可 靠 性 。 

所 有 服务 器 均 已 加 入 域 中 ,接受 域 控制 器 的 统一 管理 ,并 且 已 开启 远程 终端 功能 ,用 户 
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可 以 使 用 有 效 的 管理 员 账 户 凭据 远程 登录 服务 器 ,实现 相应 的 配置 与 管理 任务 。 
1.2.4 客户 端 计 算 机 


客户 端 计算 机 主要 以 Windows 操作 系统 为 主 , 极 少 数 用 户 是 运行 Linux 和 Mac OS 操 
作 系 统 的 。 客 户 端 计算 机 的 安全 防御 比较 薄弱 , 仅 限 于 用 户 账户 登录 密码 \ 个 人 防火 墙 、 杀 
毒 软件 等 。 因 此 ,由 于 个 别 客户 端 感 染病 毒 而 导致 网 络 瘫痪 的 问题 时 有 发 生 。 对 于 
Windows 系统 而 言 ,应 用 最 多 的 Windows XP Professional 和 Windows Vista 系统 已 经 集 
成 了 比较 完善 的 安全 防御 功能 ,如 Internet 防火 墙 `、 Windows 防火 墙 ,Windows Defender、 
Windows Update 等 ,客户 端 用 户 只 需 对 这 些 功能 进行 简单 配置 , 即 可 增强 系统 安全 性 。 

另外 ,对 于 中 型 规模 的 企业 网 络 而 言 ,统一 的 网 络 管理 才 是 最 重要 的 。 例 如 ,统一 配置 
客户 端 计算 机 安全 功能 .部署 WSUS 服务 器 .增强 网 络 访问 控制 .部署 NAP 系统 等 。 


1.2.5 无 线 局 域 网 安全 现状 


在 企业 网 络 中 部 署 无 线 局 域 网 ,延伸 了 有 线 局 域 网 的 覆盖 范围 ,避免 网 络 布线 对 现 有 整 
体 布局 和 装修 的 破坏 ,既是 环境 需求 ,也 是 企业 发 展 和 生存 的 需要 。 用 户 在 无 线 网 络 覆 盖 范 
围 内 可 以 自由 访问 网 络 ,充分 享受 无 线 畅 游 的 便利 。 但 是 ,由 于 无 线 网 络 传输 的 特殊 性 ,无 
线 局 域 网 的 安全 问题 也 是 不 容 忽视 的 。 该 企业 网 络 中 的 无 限 网 络 安全 问题 ,主要 表现 在 如 
下 几 个 方面 。 

1. WEP 密 钥 的 发 布 问题 

802. 11 本 身 并 未 规定 密 钥 如 何 分 发 。 所 有 安全 性 考虑 的 前 提 是 假定 密 钥 已 通过 与 
802. 11 无 关 的 安全 渠道 送 到 了 工作 站 点 上 ,而 在 实际 应 用 中 ,一 般 都 是 手工 设置 ,并 长 期 固 
定 使 用 4 个 可 选 密 钥 之 一 。 因 此 , 当 工 作 站 点 增多 时 ,手工 方法 的 配置 和 管理 将 十 分 烦琐 且 
效率 低下 ,而 且 密 钥 一 旦 丢失 ,WLAN 将 无 安全 性 可 言 。 

2. WEP 用 户 身份 认证 方法 的 缺陷 

802. 11 标准 规定 了 两 种 认证 方式 : 开放 系统 认证 和 共享 密 钥 认 证 。 

开放 系统 认证 是 默认 的 认证 方法 ,任何 移动 站 点 都 可 加 入 BSS(Basic Service Set ,基本 
服务 集 ) ,并 可 以 跟 AP(Access Point, 接 和 人 点) 通信 ,能 “ 听 到 ”所 有 未 加 密 的 数据 ,可 见 ,这 
种 方法 根本 没有 提供 认证 ,也 就 不 存在 安全 性 。 

共享 密 钥 认 证 是 一 种 请 求 响应 认证 机 制 : AP 在 收 到 工作 站 点 STA (Static Timing 
Analysis ,静态 时 序 分 析 ) 的 请 求 接 人 消息 时 发 送 询问 消息 ,STA 对 询问 消息 使 用 共享 密 钥 
进行 加 密 并 送 回 AP,AP 解密 并 校 验 消息 的 完整 性 , 若 成 功 , 则 允许 STA 接 入 WLAN。 攻 
击 者 只 需 抓 住 加 密 前 后 的 询问 消息 ,加 以 简单 的 数学 运算 就 可 得 到 共享 密 钥 生成 的 伪 随 机 
密码 流 ,然后 伪造 合法 的 响应 消息 通过 AP 认证 后 接 入 WLAN。 

3. SSID 和 MAC 地 址 过 滤 

WEP 服务 集 标识 SSID 由 Lucent 公司 提出 ,用 于 对 封闭 网 络 进行 访问 控制 。 只 有 与 
AP 有 相同 的 SSID 的 客户 站 点 才 允 许 访问 WLAN。MAC 地 址 过 滤 的 想法 是 AP 中 存 有 合 
法 客户 站 点 的 MAC 地 址 列表 ,拒绝 MAC 地 址 不 在 列表 中 的 站 点 接 人 被 保护 的 网 络 。 但 
由 于 SSID 和 MAC 地 址 很 容易 被 窃取 ,因此 安全 性 较 低 。 
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4. WEP 加 密 机 制 的 天 生 脆弱 性 
WEP 加 密 机 制 的 天 生 脆 弱 性 是 受 网 络 攻 击 的 最 主要 原因 ,WEP2 算法 作为 802. 11i 的 
安全 标准 ,对 现 有 系统 改进 相对 较 小 并 易于 实现 。 


1.3 项目 需求 


由 于 该 公司 的 主要 业务 为 高 新 产品 开发 和 生产 ,掌握 众多 行业 机 密 信息 ,并 且 下 设 多 个 
部 门 , 所 以 对 网 络 安全 性 和 稳定 性 要 求 比 较 高 。 无 论 是 基础 网 络 还 是 客户 端 都 必须 严格 做 
好 安全 防御 工作 。 


1.3.1 网 络 安全 需求 


综合 项 目 成 本 和 实际 应 用 等 多 方面 因素 ,可 以 从 如 下 几 个 方面 满足 用 户 需求 。 

(1) 将 防火 墙 部 署 在 网 络 边缘 ,用 于 隔离 来 自 Internet 的 所 有 网 络 风险 。 

(2) 在 路 由 器 和 核心 交换 机 之 间 部 署 IPS, 对 全 网 的 所 有 Internet 通信 进行 检测 ,以 便 
可 以 自动 阻止 .调整 或 隔离 非 正 常 网 络 请 求 和 危险 信息 的 传输 。 

(3) 生产 区 和 办 公 区 分 别 通 过 汇聚 交换 机 连接 至 核心 交换 机 ,在 相应 的 汇聚 交换 机 上 
分 别 进 行 适当 的 安全 配置 ,将 可 能 存在 的 风险 因素 隔离 在 网 络 局 部 。 

(4) 在 办 公 区 网 络 中 ,将 安全 需求 和 应 用 需求 不 同 的 用 户 指定 到 不 同 的 VLAN 中 , 充 
分 确保 部 门 内 部 和 部 门 间 的 信息 安全 。 

(5) 在 会 议 室 和 展示 厅 等 移动 用 户 比 较 集中 的 场所 ,部 署 无 线 接 人 系统 ,在 无 线 接 人 点 
以 及 无 线 接 和 人 点 连接 的 接 人 交换 机 上 ,分别 部署 相应 的 安全 防御 措施 ,如 IEEE 802. 1x 认 
证 ,禁止 广播 SSID .WEP 加 密 等 。 

(6) 网 络 管理 区 和 服务 器 区 直接 连接 至 核心 交换 机 ,以 确保 网 络 传输 的 可 靠 性 。 网 络 
管理 区 中 部 署 有 MARS 系统 ,用 于 监控 ,分 析 和 处 理 网 络 中 所 有 通过 核心 交换 机 的 数据 通 
信 , 以 便 及 时 发 现 网 络 中 存在 的 恶意 攻击 , 非 正常 访问 等 情况 ,并 协助 管理 员 制 定 相应 的 解 
决 方案 。 

(7) 为 了 确保 服务 器 的 安全 ,在 服务 器 集中 区 部 署 IDS, 可 以 对 服务 器 区 网 络 以 及 系统 
的 运行 状况 进行 监视 , 尽 可 能 发 现 各 种 攻击 企图 .攻击 行为 或 者 攻击 结果 ,以 保证 网 络 系统 
资源 的 机 密 性 完整 性 和 可 用 性 。 


1.3.2 网 络 访问 安全 需求 


由 于 公司 大 部 分 用 户 信息 安全 意识 较 差 ,因此 必须 对 安全 需求 较 高 的 部 门 的 用 户 进行 
集中 管理 ,防止 机 密 信 息 外 泄 。 另 外 ,本 公司 在 外 地 设 有 分 公司 ,只 能 通过 远程 接 人 方式 访 
问 内 部 网 络 资源 ,可 以 借助 VPN 技术 实现 加 密 传输 ,充分 确保 信息 安全 。 目 前 ,该 网 络 中 
网 络 访问 安全 需求 如 下 。 

(1) 客户 端 更 新 需要 集中 管理 。 大 多 数 用 户 都 已 启用 Windows Update 功能 ,但 是 每 
个 用 户 都 从 微软 官方 站 点 下 载 更 新 程序 ,会 占用 大 量 的 网 络 带宽 。 另 外 ,还 有 部 分 用 户 并 未 
开启 Windows Update 功能 ,存在 可 能 招致 网 络 攻击 的 安全 漏洞 。 

(2) 网 络 病毒 不 得 不 防 。 网 络 病毒 和 攻击 是 目前 最 主要 的 信息 安全 威胁 因素 。 网 络 病 
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毒 的 防御 工作 绝 非 一 跳 而 就 ,必须 从 各 方面 严格 防范 。 通 常情 况 下 ,大 部 分 用 户 都 安装 了 杀 
毒 软件 和 个 人 防火 墙 软件 ,可 以 起 到 一 定 的 安全 防护 作用 ,但 是 未 能 升级 病毒 库 同样 可 能 感 
染病 毒 。 更 严重 的 是 ,部 分 用 户 不 安装 任何 杀毒 软件 和 防火 墙 就 开始 使 用 ,这 是 非常 危 
险 的 。 

(3) 网 络 访问 控制 需求 。 网 络 中 缺乏 严格 的 访问 控制 措施 ,用 户 只 需 使 用 相应 的 用 户 
账户 和 密码 即 可 接 人 网 络 和 访问 共享 资源 ,而 对 客户 端 系统 健康 程度 没有 任何 要 求 和 限制 。 
如 果 接 人 用 户 的 计算 机 已 经 感染 病毒 , 则 病毒 可 能 通过 网 络 快速 蔓延 至 整个 网 络 的 所 有 
分 支 。 

(4) 远程 访问 安全 的 保护 。 远 程 接 人 是 该 网 络 中 的 重要 应 用 之 一 ,用 于 实现 分 公司 网 
络 到 总 公司 网 络 的 互联 。 远 程 访问 VPN 技术 本 身 就 具有 一 定 的 安全 性 ,同时 采用 隧道 和 
加 密 等 多 种 技术 ,但 是 为 了 确保 远程 访问 的 安全 ,应 加 强 远 程 访问 的 保护 与 控制 。 


1.4 项目 规划 


网 络 安全 与 网 络 应 用 是 相互 制约 和 影响 的 。 网 络 应 用 需要 安全 措施 的 保护 ,但 是 如 果 
安全 措施 过 于 严格 ,就 会 影响 到 应 用 的 易 用 性 。 因 此 ,部署 网 络 安全 措施 之 前 ,必须 经 过 严 
格 的 规划 。 另 外 ,网 络 安全 的 管理 遍布 网 络 的 所 有 分 支 ,包括 设备 安全 、 访 问安 全、 服务 器 安 
全 、 客 户 端 安全 等 。 


1.4.1 服务 器 安全 规划 


服务 器 是 企业 网 络 的 重要 基础 ,其 安全 性 将 直接 影响 企业 网 站 以 及 网 络 应 用 的 安全 ,其 
至 会 影响 企业 的 生存 与 发 展 。 服 务 器 的 大 部 分 应 用 都 是 基于 网 络 操作 系统 等 软件 实现 的 ， 
因此 ,无 论 是 应 用 程序 出 错 , 还 是 硬件 故障 都 可 能 导致 服务 器 瘫 疯 。 若 想 做 好 服务 器 安全 防 
护 工作 ,必须 从 多 方面 人 手 。 

1. 服务 器 硬件 安全 

服务 器 硬件 设备 的 维护 主要 包括 增加 和 缉 载 设备 、 更 换 设备 \ 工 作 环 境 维护 等 。 因 为 服 
务 器 的 运行 是 不 间断 的 ,因此 这 些 维护 工作 必须 在 确保 服务 器 正常 运行 的 状态 下 进行 。 

(1) 增加 内 存 和 硬盘 容量 。 服 务 器 的 内 存 和 硬盘 都 是 支持 热 插 拔 的 ,建议 增加 与 原 设 
备 同 厂商 、 同 型 号 . 同 容量 的 内 存 或 硬盘 ,避免 由 于 兼容 性 问题 而 导致 服务 器 宕 机 。 

(2) 定期 为 服务 器 除尘 。 很 多 服务 器 故障 都 是 由 于 内 部 灰尘 导致 的 ,因此 建议 管理 员 
每 个 月 定期 拆 机 打扫 一 次 

(3) 控制 机 房 温 度 和 湿度 。 虽 然 服 务 器 对 工作 环境 的 要 求 比较 宽泛 ,但 是 当 服 务 器 周 
边 环境 比较 恶劣 时 同样 会 降低 其 处 理 速 度 和 稳定 性 。 

2. 操作 系统 安全 

服务 器 操作 系统 的 安全 是 指 操作 系统 、 应 用 系统 的 安全 性 以 及 网 络 硬件 平台 的 可 靠 性 。 
对 于 操作 系统 的 安全 防范 可 以 采取 如 下 策略 。 

(1) 对 操作 系统 进行 安全 配置 ,提高 系统 的 安全 性 。 系 统 内 部 调用 不 对 Internet 公开 ， 
关键 性 信息 不 直接 公开 , 尽 可 能 采用 安全 性 高 的 操作 系统 。 

(2) 应 用 系统 在 开发 时 ,采用 规范 化 的 开发 过 程 , 尽 可 能 地 减少 应 用 系统 的 漏洞 。 
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(3) 网 络 上 的 服务 器 和 网 络 设备 尽 可 能 不 采取 同一 家 的 产品 。 

(4) 通过 专业 的 安全 工具 (安全 检测 系统 ) 定 期 对 网 络 进行 安全 评估 。 

3. 网 络 应 用 服务 安全 

局 域 网 中 常用 的 网 络 服务 包括 WWW 服务 .FTP 服务 .DNS 服务 .DHCP 服务 、Active 
Directory 服务 等 , 随 着 服务 器 提供 的 服务 越 来 越 多 ,系统 也 容易 混乱 、 安 全 性 也 将 降低 , 因 
此 ,就 需要 对 网 络 服务 的 相关 参数 进行 设置 ,以 增强 其 安全 性 和 稳定 性 。 通 常情 况 下 ,网 络 
应 用 服务 安全 可 以 分 为 如 下 4 层 。 

(1) 网 络 与 应 用 平台 安全 : 主要 包括 网 络 的 可 靠 性 与 生存 性 、 信 息 系统 的 可 靠 性 和 可 
用 性 。 网 络 的 可 靠 性 与 生存 性 依靠 环境 安全 物理 安全 ,节点 安全 、 链 路 安全 ,拓扑 安全 、 系 
统 安全 等 方面 来 保障 。 信 息 系 统 的 可 靠 性 和 可 用 性 主要 由 计算 机 系统 安全 性 决定 。 

(2) 应 用 服务 提供 安全 : 主要 包括 应 用 服务 的 可 用 性 与 可 控 性 。 服 务 可 控 性 依靠 服务 
接 入 安全 以 及 服务 防 否 认 、 服 务 防 攻击 、 国 家 对 应 用 服务 的 管制 等 方面 来 保障 。 服 务 可 用 性 
与 承载 业务 网 络 可 靠 性 以 及 维护 能 力 等 相关 。 

(3) 信息 存储 与 传输 安全 : 主要 包括 信息 在 网 络 传输 和 信息 系统 存储 时 完整 性 机密 
性 和 不 可 否认 性 。 信 息 完整 性 可 以 依靠 报 文 鉴别 机 制 ; 信息 机 密 性 可 以 依靠 加 密 机 制 以 及 
密 钥 分 发 等 来 保障 ; 信息 不 可 否认 性 可 以 依靠 数字 签名 等 技术 来 保障 。 

(4) 信息 内 容 安全 : 主要 指 通 过 网 络 应 用 服务 所 传递 的 信息 内 容 不 涉及 危害 国家 安 
全 ,泄露 国家 机 密 或 商业 秘密 ,侵犯 国家 利益 、 公 共 利 益 或 公民 合法 权益 ,从 事 违法 犯罪 
活动 。 


1.4.2 客户 端 安全 规划 


目前 ,Windows XP 和 Windows Vista 是 首选 客户 端 操作 系统 ,为 了 便于 统一 管理 ,应 
将 相对 固定 的 客户 端 计算 机 加 入 域 ,接受 域 控制 器 的 统一 管理 。 通 常情 况 下 ,可 以 从 如 下 
5 方面 做 好 客户 端 计算 机 的 安全 防御 工作 。 

(1) 对 于 加 入 域 的 计算 机 可 以 通过 组 策略 等 工具 统一 部 署 安全 策略 ,例如 用 户 账 户 策 
略 、 密 码 策略 、 硬 件 设 备 安装 限制 策略 等 ,确保 客户 端的 安全 。 

(2) 对 于 未 加 入 域 的 计算 机 ,应 提高 用 户 网 络 安全 的 意识 ,通过 设置 登录 密码 、. 计 算 机 
锁定 、 防 火 墙 等 方式 ,确保 系统 安全 。 

(3) 在 网 络 中 部 署 WSUS 服务 器 ,负责 为 所 有 客户 端 计算 机 和 服务 器 提供 系统 更 新 ， 
避免 系统 漏洞 的 产生 。 

(4) 在 所 有 客户 端 上 部 署 Symantec 网 络 防 病毒 客户 端 软 件 ,并 接受 服务 器 端的 统一 管 
理 , 开 启 自动 更 新 病毒 库 功能 。 

(5) 灵活 部 署 和 运用 Windows 防火 墙 ` Windows Defender 等 系统 集成 安全 防护 程序 。 


1.4.3 网 络 设备 安全 规划 


局 域 网 中 的 主要 网 络 设备 包括 路 由 器 、 交 换 机 和 防火 墙 ,分 别 用 于 提供 不 同 的 网 络 功 能 
和 应 用 。 网 络 设备 的 部 署 方 式 、 工 作 环 境 、 配 置 管 理 等 ,都 可 能 影响 其 安全 性 。 

1. 网 络 设备 的 脆弱 性 

通常 情况 下 , 当 用 户 按照 组 网 规划 方案 购 入 并 部 署 好 网 络 设备 之 后 ,设备 中 的 主要 组 成 
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系统 即 可 在 一 段 时 间 内 保持 相对 稳定 地 运行 。 但 是 ,网 络 设备 本 身 就 有 一 定 的 脆弱 性 ,这 也 
往往 会 成 为 人 侵 者 攻击 的 目标 。 网 络 设备 的 安全 脆弱 性 主要 表现 在 如 下 5 方面 。 

(1) 提供 不 必要 的 网 络 服务 ,提高 了 攻击 者 的 攻击 机 会 。 

(2) 存在 不 安全 的 配置 , 带 来 不 必要 的 安全 隐患 。 

(3) 不 适当 的 访问 控制 。 

(4) 存在 系统 软件 上 的 安全 漏洞 。 

(5) 物理 上 没有 得 到 安全 存放 ,容易 遭受 临近 攻击 。 

针对 这 些 与 生 俱 来 的 安全 弱点 ,用 户 可 以 通过 如 下 措施 加 固 设备 安全 。 

(1) 禁用 不 必要 的 网 络 服 务 。 

(2) 修改 不 安全 的 配置 。 

(3) 利用 最 小 特权 原则 严格 对 设备 的 访问 控制 。 

(4) 及 时 对 系统 进行 软件 升级 。 

(5) 提供 符合 IPP (Information Protection Policy, 信息 保护 策略 ) 要 求 的 物理 保护 
环境 。 

2. 部 署 网 络 安全 设备 

局 域 网 中 常见 的 网 络 安全 设备 包括 网 络 防 火 墙 、 入 侵 检测 设备 ,入侵 防 御 设备 等 。 网 络 
防火 墙 是 必 不 可 少 的 ,用 于 拦截 处 理 来 自 Internet 的 各 种 攻击 行为 ,并 且 可 以 隔离 内 部 网 络 
有 效 避 人 免 内 部 攻击 。 入 侵 检 测 设备 只 能 用 于 记录 入 侵 行为 ,局 域 网 中 已 经 很 少 使 用 。 通 常 
情况 下 ,可 以 在 网 络 中 部 署 人 侵 防御 系统 ,保护 内 部 服务 器 或 局 域 网 的 安全 。 

3. IOS 安全 

IOS 就 是 智能 网 络 设备 的 网 络 操作 系统 ,主要 用 于 提供 软件 管理 平台 。IOS 与 计算 机 
操作 系统 类 似 , 难 免 存 在 系统 漏洞 ,入 侵 者 同样 可 以 通过 这 些 漏洞 进入 网 络 设备 的 IOS, 进 
行 各 种 破坏 活动 ,从 而 影响 网 络 的 正常 运行 。 

通常 情况 下 ,用 户 可 以 从 如 下 6 方面 实现 网 络 设备 的 IOS 安全 。 

(1) 配置 登录 密码 ,主要 包括 Enable 密码 和 Telnet 密码 ,必要 时 可 以 以 加 密 方式 存储 
密码 ,以 确保 其 安全 性 。 

(2) 配置 用 户 访问 安全 级 别 ,为 不 同 的 管理 账户 赋予 不 同 的 访问 和 管理 权限 。 

(3) 控制 终端 访问 安全 ,严格 控制 允许 终端 连接 的 数量 ,以 及 终端 会 话 超时 限制 。 

(4) 配置 SNMP 安全 。SNMP 字符 串 用 于 验证 用 户 与 交换 机 的 连接 ,确保 其 身份 的 有 
效 性 ,类似 于 用 户 账户 和 密码 。 

(5) 及 时 备份 IOS 映像 ,以 便 出 现 误 操 作 或 遭遇 攻击 时 可 以 迅速 恢复 。 

(6) 升级 IOS 版 本 。IOS 的 系统 漏洞 是 不 可 避免 的 ,用 户 可 以 通过 安装 补丁 或 升级 
IOS 版 本 的 方法 避免 由 于 系统 漏洞 导致 的 网 络 攻击 。 


1.4.4 无 线 设 备 安全 规划 


无 线 接 人 不 仅 是 企业 发 展 的 需要 ,更 是 企业 形象 的 代表 。 无 线 局 域 网 是 有 线 网 络 的 扩 
展 , 主 要 用 于 为 移动 终端 用 户 提供 网 络 接 人 。 该 公司 中 的 AP(Access Point ,无 线 接 人 点 ) 
主要 分 布 在 产品 展示 区 和 会 议 室 ,方便 移动 用 户 随 时 随地 访问 公司 网 络 。 如 今 许多 笔记 本 
电脑 .掌上 电脑 .手机 等 都 提供 无 线 接 人 功能 ,在 无 线 网 络 覆 盖 范 围 内 * 蹦 网 ”已 经 成 为 一 种 
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时 尚 , 对 于 管理 员 而 言 ,无 线 网 络 安全 自然 也 就 成 了 管理 重点 。 

在 无 线 局 域 网 管理 中 ,可 以 采用 如 下 措施 确保 网 络 安全 。 

(1) 确保 桌面 计算 机 和 服务 器 系统 实现 尽 可 能 的 安全 。 这 种 保护 提高 了 攻击 的 门槛 ， 
即使 攻击 者 进入 了 WLAN, 仍然 很 难 渗透 进 用 户 的 计算 机 。 

(2) 启用 无 线 AP 和 工作 站 所 支持 的 最 强 WEP。 同 时 ,确保 拥有 一 个 强健 的 WEP 密 
码 , 这 个 密码 应 该 符合 有 线 网 络 中 所 应 用 的 相同 的 密码 强度 规则 。 

(3) 确保 无 线 网 络 的 网 络 名 称 (SSID) 不 是 可 以 轻松 识别 的 。 不 要 使 用 公司 名 称 、 自 己 
的 姓名 或 者 地 址 作为 SSID。 

(4) 如 果 无 线 AP 支持 SSID 广播 ,应 当 关 闭 。 这 个 措施 可 以 创建 一 个 封闭 网 络 ,这 样 ， 
新 的 客户 端 必须 在 连接 之 前 输入 正确 的 SSID。 

(5) 使 用 IEEE 802. 1x 身份 验证 协议 保护 无 线 网 络 的 安全 。 

(6) 在 网 络 中 部 署 无 线 网 络 控制 器 ,统一 管理 和 部 署 网 络 中 的 所 有 无 线 接 人 点 ,实时 监 
测 无 线 网 络 攻击 情况 。 


1.4.5 安全 设备 规划 


在 安全 性 需求 较 高 的 网 络 中 ,网络 安全 设备 是 必 不 可 少 的 。 该 公司 网 络 中 使 用 的 安全 
设备 包括 网 络 防火 墙 .IDS 和 IPS。 

1. 网 络 防火 墙 

防火 墙 适用 于 用 户 网 络 系统 的 边界 ,属于 用 户 网 络 边界 的 安全 保护 设备 。 所 谓 网 络 边 
界 即 采用 不 同安 全 策略 的 两 个 网 络 连接 处 ,如 用 户 和 Internet 之 间 、 同 一 企业 内 部 同 部 门 的 
网 络 之 间 等 。 防 火 墙 的 目的 就 是 在 网 络 连接 之 间 建 立 一 个 安全 控制 点 ,通过 设 定 一 定 的 得 
选 机 制 来 决定 允许 或 拒绝 数据 包 通 过 ,实现 对 进入 网 络 内 部 的 服务 和 访问 的 审计 与 控制 。 
网 络 防火 墙 是 内 、 外 网 络 数据 传输 的 必 经 之 路 。 

2. IDS 

IDS 是 继 * 防 火 墙 ? “信息 加 密 ? 等 传统 安全 保护 方法 之 后 的 新 一 代 安全 保障 技术 。 和 人 
侵 检测 技术 是 为 保证 计算 机 系统 的 安全 ,而 设计 与 配置 的 一 种 能 够 及 时 发 现 并 报告 系统 中 
未 授权 或 异常 现象 的 技术 。IDS 通过 对 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 收集 信息 
并 对 其 进行 分 析 , 从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 该 
网 络 中 的 IDS 部 署 在 服务 器 区 的 接 人 交换 机 处 。 

IDS 能 够 检测 到 的 攻击 类 型 通常 包括 : 系统 扫描 (System Scanning) ,拒绝 服务 (Deny 
of Service) 和 系统 渗透 (System Penetration) 。IDS 对 攻击 的 检测 方法 主要 包括 : 被 动 、 非 
在 线 地 发 现 和 实时 、 在 线 地 发 现 计 算 机 网 络 中 的 攻击 者 。IDS 的 主要 优势 是 监听 网 络 流量 ， 
但 又 不 会 影响 网 络 的 性 能 。 作 为 对 防火 墙 的 有 益 补充 ,IDS 能 够 帮助 网 络 系统 快速 发 现 网 
络 攻击 的 发 生 , 可 扩展 系统 管理 员 的 安全 管理 能 力 , 包 括 安全 审计 、 监 视 、 进 攻 识 别 和 响应 
等 ,从 而 提高 了 信息 安全 基础 结构 的 完整 性 ,被 认为 是 继 防火 墙 之 后 的 第 二 道 安全 闸门 。 

3 5 

网 络 中 的 IPS 主要 用 于 拦截 和 处 理 传统 网 络 防火 墙 无 法 解决 的 网 络 攻击 ,部 署 在 网 络 
中 的 Internet 接 入 区 。 

传统 的 防火 墙 旨 在 拒绝 那些 明显 可 疑 的 网 络 流量 ,但 仍然 允许 某 些 流量 通过 ,因此 , 防 
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火 墙 对 于 很 多 入 侵 攻 击 仍 然 无 计 可 施 ,而 绝 大 多 数 IDS 系统 都 是 被 动 的 ,不 是 主动 的 , 即 在 
攻击 实际 发 生前 ,往往 无 法 预先 发 出 警报 。 而 入 侵 防御 系统 IPS 则 倾向 于 提供 主动 防御 ,其 
设计 宗旨 是 预先 对 入侵 活动 和 攻击 性 网 络 流量 进行 拦截 ,避免 其 造成 损失 ,而 不 是 简单 地 在 
恶意 流量 传送 时 或 传送 后 才 发 出 警报 。 

IPS 是 通过 直接 嵌入 到 网 络 流量 中 实现 这 一 功能 的 , 即 通过 一 个 网 络 端口 接收 来 自 外 
部 系统 的 流量 ,经 过 检查 确认 其 中 不 包含 异常 活动 或 可 疑 内 容 后 ,再 通过 另外 一 个 端口 将 其 
传送 到 内 部 系统 中 。 此 时 ,有 问题 的 数据 包 , 以 及 所 有 来 自 同一 数据 流 的 后 续 数 据 包 ,都 能 
在 IPS 设 备 中 被 清除 掉 。 


1.4.6 局 域 网 接 入 安全 规划 


根据 拓扑 结构 ,可 以 将 局 域 网 分 为 核心 层 、 汇 聚 层 和 接 入 层 3 个 层次 。 接 入 层 是 最 终 面 
向 用 户 的 ,是 局 域 网 用 户 进入 网 络 的 接 人 点 ,在 该 层 应 用 保障 安全 的 策略 ,能 为 局 域 网 的 安 
全 运行 提供 保障 。 

1. 常规 接 入 安全 措施 

在 传统 有 线 网 络 中 ,通常 可 以 采用 802. 1x 认证 确保 局 域 网 接 入 的 安全 ,但 需要 交换 机 
支持 和 后 台 的 RADIUS 服务 器 ,同时 必须 采用 国内 某 些 网 络 厂商 提供 的 802. 1x 解决 方案 ， 
可 以 实现 用 户 名 、IP 地 址 、MAC 地 址 、 端 口 、 VLAN ,交换 机 IP 等 的 绑 定 , 从 而 有 效 避 免 网 
络 设 备 、 用 户 等 的 非法 接 入 。 除 此 之 外 ,防火 墙 类 的 产品 也 可 以 控制 局 域 网 接 入 ,但 需要 额 
外 投资 ,并 且 可 靠 性 不 是 很 高 。 

在 无 线 局 域 网 中 ,管理 员 可 以 通过 如 下 措施 确保 接 入 安全 。 

(1) 设置 SSID。SSID 是 无 线 局 域 网 的 网 络 名 称 , 通 常用 于 区 分 不 同 的 网 络 。 无 线 设 
备 或 用 户 接 入 网 络 之 前 必须 提供 匹配 的 SSID, 否 则 无 法 接 入 。SSID 类 似 于 一 个 简单 的 口 
令 , 阻 止 非法 用 户 的 接 入 ,保障 无 线 局 域 网 的 安全 。 另 外 ,还 需要 禁止 无 线 设备 的 SSID 广 
播 功 能 。 

(2) 配置 MAC 地 址 访问 控制 列表 。 每 个 网 络 设备 或 计算 机 的 网 卡 都 有 一 个 唯一 的 
MAC 地 址 ,因此 通过 配置 MAC 地 址 访问 控制 列表 ,可 以 确保 只 有 经 过 注册 的 设备 才 可 以 
接 入 网 络 ,阻止 未 经 授权 的 无 线 用 户 接 入 。 

(3) 配置 WEP 加 密 。WEP 加 密 主 要 是 针对 无 线 网 络 中 传输 的 数据 而 言 的 ,可 以 用 于 
保护 链 路 层 数据 的 安全 。WEP 使 用 40 位 密 钥 ,采用 RSA 开发 的 RC4 对 称 加 密 算法 ,在 链 
路 层 加 密 数 据 。 

(4) 配置 802. 1x 认证 。 当 无 线 设备 或 用 户 接 入 无 线 局 域 网 之 前 ,可 以 通过 802. 1x 认 
证 决定 是 否 允 许 其 继续 访问 。 如 果 认 证 通过 , 则 AP 为 无 线 工 作 站 打开 这 个 逻辑 端口 ,否则 
不 允许 接 入 。 

2. NAP 技术 

NAP(Network Access Protection, 网 络 访问 保护 ) 是 Microsoft 在 Windows Vista 和 
Windows Server 2008 提供 的 全 新 系统 组 件 , 它 可 以 在 访问 私有 网 络 时 提供 系统 平台 健康 
校 验 。NAP 平台 提供 了 一 套 完整 性 校 验 的 方法 来 判断 接 和 人 网 络 的 客户 端的 健康 状态 ,对 不 
符合 健康 策略 需求 的 客户 端 限制 其 网 络 访问 权限 。 

为 了 校 验 访问 网 络 的 主机 的 健康 状况 ,网络 架构 需要 提供 如 下 功能 性 领域 。 
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(1) 健康 策略 验证 : 判断 计算 机 是 否 适应 健康 策略 需求 。 

(2) 网 络 访问 限制 : 限制 不 适应 策略 的 计算 机 访问 。 

(3) 自动 补救 : 为 不 适应 策略 的 计算 机 提供 必要 的 升级 ,使 其 适应 健康 策略 。 
(4) 动态 适应 : 自动 升级 适应 策略 的 计算 机 以 使 其 可 以 跟 上 健康 策略 的 更 新 。 


1.4.7 Internet 接 入 安全 规划 


企业 局 域 网 采用 共享 方式 接 人 Internet, 并 将 硬件 防火 墙 Cisco 5540 部 署 在 局 域 网 边 
缘 。 为 了 便于 统一 管理 客户 端 Internet 接 人 安全 ,在 硬件 防火 墙 的 后 面部 署 了 Forefront 
TMG 服务 器 ,可 以 提供 如 下 功能 。 

(1) 网 络 防火 墙 。TMG 服务 器 提供 了 灵活 的 防火 墙 策略 配置 ,允许 管理 员 根 据 实际 需 
要 定制 Internet 访问 规则 ,例如 限制 特定 用 户 访问 Internet、 禁 止 浏览 视频 网 站 等 。 

(2) Web 访问 缓存 。TMG 服务 器 既是 网 络 防火 墙 ,又 可 以 作为 Web 访问 代理 服务 器 。 
管理 员 可 以 在 TMG 服务 器 上 开辟 专用 于 存储 客户 端 请 求 的 Internet 数据 的 空间 ,暂时 组 
存 常用 数据 。 当 客户 端 需要 再 次 访问 这 些 Internet 数据 时 ,在 局 域 网 中 即 可 完成 ,提高 了 客 
户 端的 访问 效率 。 

(3) 安全 VPN 接 人 功能 。 通 过 TMG 服务 器 创建 VPN 连接 ,能 够 很 轻松 地 建立 起 各 
种 情况 下 的 VPN 连接 。 当 本 地 计算 机 要 和 远程 计算 机 通过 TMG 服务 器 进行 通信 时 ,数据 
封装 好 后 ,将 通过 VPN 进行 收发 ,充分 确保 通信 过 程 的 安全 。 


1.4.8 远程 接 入 安全 规划 


目前 ,最 常用 的 远程 访问 方式 就 是 VPN, 主 流 的 安全 技术 包括 SSL VPN 和 IPSec 
VPN。SSL VPN 应 用 比较 简单 ,用 户 无 须 进 行 配 置 ,基于 Web 页 面 即 可 实现 。IPSec VPN 
技术 应 用 比较 广泛 ,不 再 局 限于 Web 方式 ,同时 由 于 其 安装 和 配置 过 程 比较 复杂 ,应 用 难度 
也 较 大 。 

1. IPSec VPN 远程 安全 接 入 

IPSec 提供 了 多 种 安全 特性 ,如 数据 加 密 、 设 备 验证 .数据 完整 性 .地 址 隐藏 和 安全 机 
构 (SA) 密 钥 老 化 等 功能 。IPSec 标准 提供 数据 完整 性 或 数据 加 密 两 种 功能 。 数 据 完 整 性 分 
两 类 : 128 位 强度 Message Digests(MD-5)-HMAC 和 160 位 强度 安全 散 列 算法 (SHA)- 
HMAC。 由 于 SHA 的 强度 更 大 ,所 以 更 加 安全 。 

2. SSL VPN 远程 安全 接 入 

SSL VPN 是 工作 在 应 用 层 和 TCP 层 之 间 的 远程 接 人 技术 。 通 常 SSL VPN 的 实现 方 
式 是 在 企业 的 防火 墙 后 面 放 置 一 个 SSL 代理 服务 器 。 如 果 用 户 希 望 安全 地 连接 到 公司 网 
络 上 ,那么 当 用 户 在 浏览 器 上 输入 一 个 URL 后 ,连接 将 被 SSL 代理 服务 器 取得 ,并 验证 该 
用 户 的 身份 ,然后 SSL 代理 服务 器 将 连接 映射 到 不 同 的 应 用 服务 器 上 。 


1.4.9 网 络 可 靠 性 规划 


对 于 企业 网 络 而 言 ,许多 金融 、 贸 易 、 电 子 商 务 等 活动 都 是 通过 网 络 完 成 的 ,这 就 要 求 企 
业 网 络 具备 很 高 的 可 靠 性 。 提 高 网 络 可 靠 性 的 方法 有 很 多 ,最 常用 的 就 是 元 余 和 容错 。 
在 硬件 设备 方面 ,可 以 通过 配置 交换 机 生成 树 、 链 路 汇聚 和 链 路 宛 余 技 术 来 提高 局 域 网 
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线路 连接 的 可 靠 性 。 其 中 生成 树 协 议 可 以 帮助 管理 员 快 速 检 查 网 络 连接 。 当 主 链 路 发 生 故 
障 时 , 便 可 以 自动 接 通 备份 链 路 ,确保 网 络 正 常 工作 。 链 路 汇聚 技术 可 以 将 多 条 链 路 聚合 为 
一 组 干 路 ,还 可 以 提高 网 络 带宽 ,更 重要 的 是 , 链 路 汇聚 可 以 实现 负载 均衡 ,从 而 大 大 提高 了 
网 络 的 可 靠 性 。 局 域 网 接 入 区 域 的 路 由 器 虽然 仅 提供 路 由 选择 功能 ,但 其 重要 性 也 是 不 容 
忽视 的 。 可 以 通过 配置 路 由 元 余 充分 保证 Internet 连接 的 可 靠 性 。 

在 软件 方面 则 可 以 通过 服务 器 群集 技术 和 网 络 负载 均衡 技术 ,来 提高 重要 服务 器 的 可 
靠 性 。 除 此 之 外 ,常规 的 数据 备份 也 是 必 不 可 少 的 ,包括 服务 角色 状态 信息 备份 .服务 器 系 
统 备份 数据库 备份 、 网 络 设备 配置 备份 等 。 


Windows 系 统 安全 


计算 机 系统 安全 是 网 络 信息 安全 的 基础 。 目 前 , Windows 操作 系统 是 应 用 最 多 的 计算 
机 操作 系统 之 一 ,市 场 占有 量 始 终 维持 在 90% 左 右 。 常 用 的 服务 器 操作 系统 包括 Windows 
Server 2003 和 Windows Server 2008; 常用 的 客户 端 PC 操作 系统 包括 Windows XP/ 
Vista/7 等 。 在 局 域 网 中 ,客户 端 PC 的 安全 配置 都 是 通过 服务 器 端的 统一 部 署 实现 的 。 
Windows Server 2008 是 Microsoft 公司 的 打 鼎 之 作 , 实 用 性 和 安全 性 都 有 了 很 大 提高 。 


2.1 Windows 系统 安全 规划 


任何 安全 措施 都 无 法 确保 万 无 一 失 , 强 有 力 的 安全 措施 可 以 增加 入 侵 难度 ,从 一 定 程度 
上 提升 系统 安全 性 。 通 常情 况 下 ,用户 安装 操作 系统 后 ,只 是 进行 简单 的 安全 设置 , 便 投 入 
应 用 ,其 实 这 是 非常 危险 的 。 要 想 使 服务 器 在 复杂 的 网 络 环境 中 平稳 运行 ,必须 从 各 方面 实 
施 安 全 加 固 。 


2.1.1 案例 情景 


该 项 目 网 络 中 涉及 的 服务 器 比较 多 ,主要 包括 域 控制 器 、Web 服务 器 .邮件 服务 器 、 防 
病毒 服务 器 和 文件 服务 器 等 ,全 部 采用 Windows Server 2008 操作 系统 。Windows 操作 系 
统 最 大 的 优点 就 是 简便 易 用 、 功 能 强大 ,但 安全 性 确 是 让 大 多 数 用 户 忧 心 促 虱 的 问题 。 通 常 
情况 下 ,用户 安 全 意识 较 差 ,甚至 连 网 络 服务 器 都 没有 任何 安全 防护 措施 ,这 是 非常 危险 的 。 
现在 绝 大 多 数 计算 机 病毒 都 是 通过 网 络 传播 的 ,如 果 网 络 中 的 某 台 计算 机 系统 存在 安全 漏 
洞 , 则 很 可 能 会 招致 网 络 病毒 人 侵 , 并 快速 草 延 到 网 络 中 的 其 他 计算 机 ,严重 的 情况 下 可 能 
会 导致 整个 网 络 瘫 病 。 因 此 ,必须 确保 网 络 中 每 一 台 服 务 器 的 系统 安全 。 


2.1.2 项 目 需求 


操作 系统 是 实现 一 切 网 络 服务 的 基础 ,因此 ,首先 必须 确保 Windows 操作 系统 的 安全 ， 
再 去 考虑 网 络 应 用 和 网 络 服务 的 安全 。 相 对 于 早期 版 本 的 Windows Server 操作 系统 而 言 ， 
Windows Server 2008 系统 的 安全 性 已 经 有 了 很 大 的 提升 ,系统 默认 集成 了 防火 墙 \ 用 户 账 
户 控 制 、 安 全 组 策略 等 多 种 安全 功能 。 为 了 适应 大 多 数 用 户 的 配置 需求 ,默认 情况 下 ， 
Windows Server 2008 并 未 启用 所 有 的 安全 功能 ,用 户 必须 根据 安全 需求 一 一 配置 并 启用 
这 些 功能 ,充分 发 挥 Windows Server 2008 系统 的 安全 特性 。 
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2.1.3 解决 方案 


本 章 主要 介绍 如 何 配置 Windows Server 2008 系统 安全 ,以 及 借助 漏洞 扫描 工具 发 现 
和 弥补 系统 安全 漏洞 。 

1. 安全 配置 向 导 

SCW 可 以 帮助 管理 员 快 速 完成 创建 、 编 辑 .应 用 和 回 滚 安全 策略 操作 。 用 户 可 以 根据 
需要 创建 针对 某 个 服务 器 角色 的 安全 策略 ,并 且 可 以 将 其 应 用 到 其 他 服务 器 上 。 

2. 配置 Windows 系统 安全 功能 

常用 Windows 系统 的 基本 安全 配置 包括 Internet 防火 墙 、 Windows Update 用 户 账户 
安全 、 上 默认 共享 安全 ,组 策略 安全 等 内 容 。Windows Server 2008 和 Windows Vista 系统 中 
还 新 增 了 用 户 账户 控制 .驱动 器 加 密 等 安全 功能 。 

3. 系统 漏洞 扫描 

Windows 系统 的 系统 漏洞 是 在 所 难免 的 ,如 果 管 理 员 能 够 及 时 发 现 漏洞 并 安装 相应 的 
补丁 程序 弥补 漏洞 , 仍 可 以 确保 操作 系统 的 安全 。MBSA 是 Microsoft 公司 推出 的 产品 漏 
洞 扫描 工具 ,不 仅 可 以 扫描 本 地 系统 漏洞 安全 ,而 且 可 以 通过 网 络 扫描 远程 计算 机 上 和 运行 的 
Microsoft 产品 存在 的 漏洞 。 

4. 端口 安全 

所 谓 端口 安全 就 是 指使 用 端口 查看 工具 (netstat 命令 ) ,查看 当前 系统 哪些 端口 是 开放 
的 ,其 对 应 的 宿主 程序 是 哪些 ,是 否 存 在 安全 漏洞 。 


2.2 安全 配置 向 导 


使 用 SCW 可 以 针对 已 安装 的 服务 器 角色 创建 安全 策略 ,并 且 导 出 之 后 ,还 可 以 应 用 到 
其 他 有 类 似 安 全 需求 的 服务 器 上 。 使 用 安全 配置 向 导 创建 的 安全 策略 ,可 直接 应 用 于 所 有 
运行 Windows Server 2008 或 者 Windows Server 2003 SP1/SP2/R2 操作 系统 的 网 络 服务 
器 。 本 节 中 以 创建 Web 服务 安全 策略 为 例 进 行 介绍 。 


2.2.1 配置 安全 服务 


配置 安全 服务 的 具体 步骤 如 下 。 

(1) 依次 选择 “开始 ”一 “管理 工具 ”安全 配置 向 导 ? 选 项 ,启动 “安全 配置 向 导 ”。 用 
户 也 可 以 在 “开始 "菜单 的 “开始 搜索 ”文本 框 中 ,输入 scw 命令 并 按 Enter 键 来 启动 安全 配 
置 向 导 。 单 击 * 下 一 步 ?按钮 ,显示 如 图 2-1 所 示 的 “配置 操作 ?对 话 框 。 安 全 配置 向 导 提 供 
了 4 种 配置 操作 。 

@ 新 建安 全 策略 : 可 以 创建 用 于 配置 服务 、Windows 防火 墙 、Internet 协议 安 
全 (IPSec) 设 置 、 审 核 策 略 和 特定 注册 表 设 置 的 安全 策略 。 安 全 策略 文件 是 XML 格式 文 
件 ,默认 保存 路 径 为 外 systemroot%%\security\msscwNPolicies 。 

@@ 编辑 现 有 安全 策略 : 可 以 编辑 已 使 用 SCW 创建 的 安全 策略 。 必 须 先 选择 “编辑 现 
有 安全 策略 ”, 才 能 浏览 到 要 编辑 的 安全 策略 文件 所 在 的 文件 夹 。 编 辑 的 策略 可 存储 在 本 地 
文件 夹 或 网 络 共享 文件 夹 中 。 
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@ 应 用 现 有 安全 策略 : 使 用 SCW 创建 安全 策略 后 ,可 将 其 应 用 到 测试 服务 器 ,或 者 应 
用 到 生产 环境 。 

提示 : 在 将 新 创建 或 新 修改 的 安全 策略 应 用 到 生产 环境 之 前 ,首先 进行 测试 ,然后 将 安 
全 策略 部 署 到 业务 系统 中 ,测试 可 使 新 策略 在 生产 环境 中 导致 意外 结果 的 可 能 性 降 至 最 低 。 

@ 回 深 上 一 次 应 用 的 安全 策略 : 如 果 使 用 SCW 应 用 的 安全 策略 使 服务 器 功能 达 不 到 
预期 的 效果 ,或 者 导致 其 他 非 预期 结果 , 则 可 以 回 滚 该 安全 策略 ,将 自动 从 该 服务 器 删除 对 
应 的 安全 策略 。 

注意 : 如 果 策 略 是 在 “本 地 安全 策略 "中 编辑 的 ,在 应 用 策略 后 ,这 些 更 改 就 不 能 回 滚 到 
应 用 前 的 状态 。 对 于 服务 和 注册 表 值 , 回 滚 过 程 还 原 了 在 配置 过 程 中 更 改 的 设置 。 对 于 
Windows 防火 墙 和 IPSec, 回 滚 过 程 取消 当前 使 用 的 任何 SCW 策略 的 分 配 , 并 重新 分 配 在 
配置 时 使 用 的 前 策略 。 

如 果 是 第 一 次 使 用 安全 配置 向 导 , 则 应 选中 “新 建安 全 策略 ” 单 选 按钮 。 

(2) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 2-2 所 示 的 “选择 服务 器 ”对 话 框 。 在 “服务 器 ”文本 
框 中 ,输入 需要 进行 安全 配置 的 Windows Server 2008 服务 器 的 主机 名 或 IP 地 址 。 也 可 以 
单 击 “ 浏 览 ” 按 钮 ,选择 需要 进行 安全 配置 的 目标 计算 机 。 


Ra 选 科 
Ei 编 可 号 应 用 一 个 现 有 的 安全 第 路 : 职 攻 我 上 一 次 应 网 的 Fi 全 过 皇 乓 夺 秀 器 的 导轨 和 被 用 来 在 此 去 主 策 畴 中 作为 基准 < Fe 
志和 机 生 的 相 作 i 2981 各， 开 人 人 人 
太 宁 填 支 全 计 基 人) 

三 需 枉 现 有 安全 第 上 ) 服务 器 (使 用 DIE 名 称 、Wwv8I05 名 种 或 IT 地址 ) G) 
三 应 用 现 有 安全 证 略 4) FE 测量 四， 
个 加 和 R 上 一 次 应 用 的 安全 第 办 只) 
人 a gp 
和 EE i | 
阴间 全 人 信息 了 前 这 和服 站 多 信 息 。 
2 2 
图 2-1 “配置 操作 ”对 话 框 图 2-2 “选择 服务 器 ”对 话 框 


(3) 单 击 “下 一 步 ? 按 钮 ,开始 扫描 配置 数据 库 , 主 要 包括 已 安装 或 运行 的 网 络 服务 .IP 
地 址 及 子 网 信息 等 。 扫 描 完 成 后 显示 ”正在 处 理 安全 配置 数据 库 ? 对 话 框 。 单 击 “ 查 看 配置 
数据 库 ? 按 钮 ,可 以 查看 详细 扫描 结果 。 需 要 注意 的 是 ,在 此 过 程 中 由 于 Internet Explorer 
7.0 的 安全 设置 ,可 能 会 出 现 安全 提示 信息 。 单 击 “ 下 一 步 ” 按 钮 ,显示 “基于 角色 的 服务 配 
置 ?对 话 框 ,如 图 2-3 所 示 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ,显示 “选择 服务 器 角色 ”对 话 框 。 在 “查看 ”下 拉 列 表 框 中 ,系统 
默认 选择 “安装 的 角色 ”选项 , 即 只 设置 已 安装 服务 的 安全 策略 ,并 在 “为 选 定 的 服务 器 选择 
要 执行 的 服务 器 角色 ”列表 中 ,选中 “Web 服务 器 ” 复 选 框 。 单 击 * 下 一 步 ”按钮 ,显示 “选择 
客户 端 功能 ?对 话 框 。 尽 管 本 节 主 要 配置 Web 服务 器 安全 ,但 服务 器 本 身 可 能 同时 又 是 客 
户 机 ,如 自动 更 新 客户 端 .DHCP 客户 端 等 ,因此 还 必须 保留 必要 的 客户 端 功 能 。 建 议 使 用 
默认 设置 即 可 ,如 图 2-4 所 示 。 

(5) 单 击 “ 下 一 步 ” 按 钮 ,显示 “选择 管理 和 其 他 选项 ”对 话 框 。 在 “查看 ”下 拉 列 表 框 中 
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图 2-3 “基于 角色 的 服务 配置 "对话 框 
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图 2-4 选择 服务 器 角色 和 客户 端 功能 


选择 “Web 服务 器 ”选项 ,并 在 “选择 用 来 管理 选 定 的 服务 器 的 选项 "列表 中 ,选中 “Web 服务 
器 (IIS) 的 远程 管理 " 复 选 框 。 单 击 “ 下 一 步 " 按 钮 ,显示 “选择 其 他 服务 ”对 话 框 。 其 他 服务 
是 指 当前 服务 器 上 已 经 安装 但 在 安全 配置 数据 库 中 未 显示 的 服务 。 如 果 出 现 这 种 情况 , 安 
全 配置 向 导 将 在 “选择 其 他 服务 "对话 框 中 显示 已 安装 的 服务 列表 。 展 开 相 应 的 服务 即 可 查 
看 其 详细 运行 模式 ,如 图 2-5 所 示 。 建 议 取消 无 关 紧要 的 其 他 服务 。 

(6) 单 击 “下 一 步 "按钮 ,显示 如 图 2-6 所 示 的 “处 理 未 指定 的 服务 ”对话 框 。“ 未 指定 的 
服务 ”是 指 安全 策略 配置 向 导 扫 描 过 程 中 未 能 发 现 的 服务 ,用 户 可 以 在 这 里 设置 其 运行 状 
态 , 选 中 “禁用 此 服务 " 单 选 按钮 即 可 。 

(7) 单 击 “下 一 步 ?按钮 ,显示 如 图 2-7 所 示 的 “确认 服务 更 改 ” 对 话 框 ,在 列表 中 显示 了 
当前 策略 设置 的 系统 服务 启动 模式 的 更 改 。 
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图 2-5 查看 已 安装 服务 的 详情 
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图 2-6 “处 理 未 指定 的 服务 ”对 话 框 图 2-7 “确认 服务 更 改 ” 对 话 框 


(8) 单 击 “ 下 一 步 "按钮 ,显示 “网 络 安 全 ”对 话 框 。 如 果 选 中 “ 跳 过 这 一 部 分 " 复 选 框 , 则 
将 跳 过 “网 络 安全 ?配置 部 分 。 建 议 不 要 跳 过 此 步骤 ,继续 按照 如 下 步骤 操作 。 单 击 “ 下 一 
步 ” 按 钮 ,显示 “网 络 安全 规则 ”对话 框 ,在 “查看 ”下拉 列表 框 中 选择 * 选 定 角色 中 的 规则 ? 选 
项 ,如 图 2-8 所 示 。 

提示 : 如 果 列 表 中 没有 列 出 需要 使 用 的 Windows 防火 墙 规则 ,可 以 单 击 “ 添 加 "按钮 ， 
打开 如 图 2-9 所 示 的 “添加 规则 ”对 话 框 ,将 其 添加 到 列表 中 。 在 “名 称 ” 文 本 框 中 ,输入 防火 
墙 规则 的 名 称 , 如 www, 为 了 便于 区 分 还 可 以 输入 相关 的 描述 信息 ; 在 “方向 ”选项 区 域 中 ， 
选中 “入 站 ” 单 选 按钮 ; 另外 ,还 可 以 根据 需要 在 “操作 ”选项 区 域 中 选择 相应 限制 连接 方式 。 

(9) 单 击 “下 一 步 ?按钮 ,显示 “注册 表 设 置 "对 话 框 。 通 过 该 设置 可 以 修改 Windows 
Server 2008 服务 器 注册 表 中 一 些 特 殊 键 值 ,从 而 严格 限制 用 户 的 访问 权限 。 建 议 用 户 不 要 
跳 过 此 步骤 。 单 击 * 下 一 步 ?按钮 ,显示 “要 求 SMB 安全 签名 ”对 话 框 。 设 置 选 定 的 服务 器 
和 客户 端的 通信 信息 ,保持 系统 默认 的 全 部 选择 状态 即 可 ,如 图 2-10 所 示 。 

(10) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 2-11 所 示 的 “出 站 身份 验证 方法 ”对 话 框 。 选 择 当 
前 服务 器 远程 连接 到 其 他 计算 机 时 使 用 的 身份 验证 方法 ,如 果 是 在 域 网 络 中 进行 远程 登录 ， 


1 


图 2-8 “网 络 安全 规则 ”对 话 框 


图 2-9 “添加 规则 ”对 话 框 


图 2-10 “注册 表 设 置 ?对 话 框 
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则 选中 * 域 账户 ? 复 选 框 即 可 ; 如 果 是 工作 组 环境 ,建议 选中 “远程 计算 机 上 的 本 地 账户 ” 复 
选 框 。 

(11) 单 击 “ 下 一 步 " 按 钮 ,显示 如 图 2-12 所 示 的 “出 站 身份 验证 使 用 本 地 账户 ”对 话 框 ， 
此 对 话 框 中 的 选项 与 所 选择 的 出 站 身份 验证 方法 有 关 , 这 里 以 使 用 “远程 计算 机 上 的 本 地 账 
户 ” 验 证 方法 为 例 。 通 常情 况 下 ,保持 默认 设置 即 可 。 


划 | 划 
出让 身 从 验证 方法 测 让 身价 只 证 人 用 本 地 二 户 
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FE 反 idors 可 0 Sevice ruck es 攻击 和 和 拓 的 
厂 在 ndms 策 ,adoms 0 台 Winders NEwaiw dition 上 六 件 失 节 定 科 人) 已 了 
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图 2-11 “出 站 身份 验证 方法 ”对 话 框 图 2-12 “出 站 身份 验证 使 用 本 地 账户 ”对 话 框 


提示 : 如 果 不 选 择 任何 出 站 身份 验证 方法 , 则 单 击 "下 一 步 ” 按 钮 将 提示 设置 入 站 设置 
选项 ,如 图 2-13 所 示 。 入 站 身份 验证 方法 主要 用 于 设置 当 网 络 用 户 访问 当前 计算 机 时 需要 
使 用 哪 种 身份 验证 方法 。 如 果 设置 了 “出 站 身份 验证 方法 ? 则 不 会 出 现 该 对 话 框 。 

(12) 单 击 “ 下 一 步 " 按 钮 ,显示 如 图 2-14 所 示 的 “注册 表 设 置 摘要 ”对 话 框 ,显示 了 当前 
安全 策略 中 所 做 的 注册 表 安 全 设置 。 
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图 2-13 “入 站 身份 验证 方法 ”对 话 框 图 2-14 “注册 表 设 置 摘要 ”对 话 框 


(13) 单 击 “ 下 一 步 " 按 钮 ,显示 “审核 策略 ”对 话 框 。Windows 审核 策略 主要 用 于 审核 
日 志 记 录 中 的 相关 内 容 , 并 确定 受 影响 的 系统 对 象 。 安 全 策略 回 滚 功 能 是 无 法 回 滚 安全 
向 导 中 的 审核 策略 设置 的 。 单 击 * 下 一 步 ? 按 钮 ,显示 “系统 审核 策略 ?对话 框 。 选 择 需 要 
审核 的 目标 ,选中 * 审 核 成 功 的 操作 ? 单 选 按钮 , 即 只 审核 日 志 记 录 中 操作 成 功 的 事件 记 
录 ,如 图 2-15 所 示 。 
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图 2-15 “系统 审核 策略 ”对 话 框 


(14) 单 击 “ 下 一 步 " 按 钮 ,显示 如 图 2-16 所 示 的 “审核 策略 摘要 ”对 话 框 。 列 表 中 列 出 
了 应 用 策略 时 ,将 在 选 定 服务 器 上 对 审核 策略 进行 审核 。 此 页 显示 每 个 审核 策略 设置 的 当 
前 设置 和 由 策略 定义 的 设置 。 

(15) 单 击 “ 下 一 步 ” 按 钮 ,显示 “保存 安全 策略 ”对 话 框 。 保 存 之 后 , 即 可 将 该 安全 策略 
应 用 到 当前 或 其 他 服务 器 上 。 单 击 * 下 一 步 "按钮 ,显示 如 图 2-17 所 示 的 "安全 策略 文件 名 ” 
对 话 框 。 在 保存 安全 策略 文件 的 路 径 之 后 输入 安全 策略 文件 名 ,根据 需要 输入 相关 描述 
信息 。 
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2-16 “审核 策略 摘要 ”对 话 框 


2-17 “安全 策略 文件 名 ”对 话 框 


提示 : 单 击 “ 包 括 安全 模板 ”按钮 ,还 可 以 向 当前 安全 策略 中 添加 其 他 安全 模板 中 的 安 
全 规则 ,这 些 规则 将 拥有 较 高 的 优先 级 。SCW 回 滚 功能 将 无 法 回 滚 已 经 应 用 的 策略 模板 中 


的 规则 设置 。 


(16) 单 击 “ 下 一 步 " 按 钮 ,显示 “应 用 安全 策略 ”对 话 框 。 如 果 选 中 “现在 应 用 ” 单 选 按 
钮 , 则 可 以 将 安全 策略 立即 应 用 到 当前 服务 器 ; 建议 选中 “ 稍 后 应 用 ” 单 选 按钮 ,测试 之 后 再 
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应 用 到 服务 器 。 单 击 “ 下 一 步 ” 按 钮 ,显示 “正在 完成 安全 配置 向 导 ” 对 话 框 。 单 击 “ 完 成 ” 按 
钮 ,完成 安全 策略 的 设置 ,如 图 2-18 所 示 。 
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图 2-18 ”完成 安全 配置 向 导 


2.2.2 应 用 安全 配置 策略 


应 用 安全 配置 策略 的 具体 步骤 如 下 。 

(1) 依次 选择 “开始 ”~ 管理 工具 ”一 安 全 配置 向 导 ? 选 项 ,启动 “安全 配置 向 导 ”, 单 击 
“下 一 步 ?按钮 ,在 “配置 操作 ?对 话 框 中 ,选中 * 应 用 现 有 安全 策略 " 单 选 按钮 ,在 “ 现 有 安全 策 
略 文件 "文本 框 中 输入 安全 策略 文件 的 路 径 ,也 可 单 击 * 浏 览 " 按 包 查 找 , 如 图 2-19 所 示 。 


CES 0 册 


图 2-19 应 用 安全 配置 策略 


(2) 单 击 “下 一 步 ?按钮 ,显示 如 图 2-20 所 示 的 “选择 服务 器 "对话 框 ,在 “服务 器 ”文本 
框 中 ,输入 想 要 应 用 到 的 服务 器 名 称 或 IP 地 址 。 如 果 目 标 服务 器 为 远程 主机 , 则 应 单 击 “ 指 
定 用 户 账户 ?按钮 ,选择 连接 到 指定 主机 部 署 安全 策略 使 用 的 用 户 账户 及 凭证 。 
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图 2-20 “选择 服务 器 "对话 框 


(3) 单 击 “ 下 一 步 "按钮 ,显示 如 图 2-21 所 示 的 “应 用 安全 策略 ”对 话 框 ,在 “安全 策略 描 
述 " 信 息 框 中 显示 的 是 该 策略 的 相关 描述 信息 ,也 可 以 单 击 “ 查 看 安全 策略 ”按钮 打开 “SCW 
查看 器 "窗口 ,查看 其 详细 信息 。 单 击 “ 下 一 步 ” 按 钮 ,显示 “正在 应 用 安全 策略 ”对 话 框 。 将 
安全 策略 应 用 到 本 地 计算 机 大 概 需 要 几 分 钟 时 间 , 应 用 到 远程 计算 机 时 所 需 时 间 可 能 更 长 
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图 2-21 “应 用 安全 策略 ”对 话 框 


(4) 单 击 “下 一 步 " 按 钮 ,显示 如 图 2-22 所 示 的 * 正 在 完成 安全 配置 向 导 ? 对 话 框 。 单 击 
“完成 ”按钮 ,关闭 安全 配置 向 导 。 重 新 启动 计算 机 后 ,应 用 的 安全 策略 即 可 生效 。 


2.2.3 知识 链接 : 安全 配置 向 导 


安全 配置 向 导 (Security Configuration Wizard,SCW) 是 从 Windows Server 2003 SP1 
系统 开始 提供 的 功能 ,主要 用 于 快速 配置 服务 器 系统 安全 。 配 置 和 应 用 SCW 时 应 注意 以 
下 几 点 。 
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(1) SCW 禁用 不 需要 的 服务 并 提供 对 具 。 pg ; 
有 高 级 安全 性 的 Windows 防火 墙 的 支持 。 正在 完成 安全 配置 向 导 

(2) 使 用 SCW 创建 的 安全 策略 与 安全 如 nia 
模板 不 同 ,其 中 前 者 扩展 名 为 . xml, 而 后 者 扩 Ete 


要 吉 后 上 上 用 是 的 有 务 叶 或 人 和 务 者 ， 证 条 运 行 此 和 


展 名 为 . inf。 用 户 创建 的 安全 策略 源 于 安全 
模板 ,安全 模板 包含 的 安全 设置 可 以 应 用 于 
所 有 的 服务 器 角色 。 

(3) 部 署 SCW 安全 策略 后 并 不 会 影响 
服务 器 提供 服务 时 所 需 的 组 件 ,并 且 应 用 之 


者 要 关 半 此 问 导 ， 请 单 吉 “完成 ” 


后 ,管理 员 仍 可 以 通过 服务 器 管理 器 安装 所 nC an | 

需 的 组 件 。 图 2-22 “正在 完成 安全 配置 向 导 " 对 话 框 
(4) 应 用 SCW 安全 策略 之 后 ,SCW 将 

自动 选择 所 有 从 属 角色 。 


(5) 创建 和 应 用 SCW 安全 策略 时 ,应 确保 服务 器 的 IP 协议 及 端口 配置 完全 正确 。 
(6) 大 规模 应 用 安全 策略 之 前 必须 经 过 严格 测试 ,确认 可 行 之 后 方 可 部 署 。 
(7) 应 用 安全 配置 策略 之 后 ,必须 重新 启动 计算 机 才 可 以 生效 。 


2.3 配置 Windows 系统 安全 


无 论 是 服务 器 操作 系统 ,还 是 客户 端 PC 操作 系统 ,都 是 按照 默认 方式 和 设置 安装 的 ， 
这 本 身 就 存在 很 大 的 安全 隐患 ,因此 必须 进行 安全 配置 ,以 确保 系统 的 安全 性 。 


2.3.1 Windows Update 


1. 配置 Windows Update 

默认 情况 下 , Windows Server 2008 安装 完成 后 ,自动 更 新 功能 是 未 配置 的 ,管理 员 必 
须 开 启 并 指定 选择 相应 的 方式 ,为 系统 下 载 、 安 装 补丁 更 新 ,以 保护 系统 的 安全 。 

(1) 为 Windows Server 2008 配置 系统 更 新 之 前 ,每 次 启动 计算 机 后 都 会 在 任务 栏 的 右 
侧 系统 托盘 中 ,显示 如 图 2-23 所 示 的 提示 信息 。 

(2) 单 击 此 提示 信息 ,打开 如 图 2-24 所 示 的 Windows Update 对 话 框 。 除 此 之 外 ,在 
“初始 配置 任务 ”窗口 的 “更 新 此 服务 器 ”选项 区 域 ,以 及 在 “服务 器 管理 器 ”窗口 的 “安全 信 
息 ” 选 项 区 域 中 ,同样 可 以 启动 Windows Update 配置 向 导 。 


indors Wpdate 


.有 运 皇 安装 更 新 的 方法 


[x) 此 时 未 自动 安装 更 新 国 
”站 击 以 进香 Tindovs 安装 更 新 的 方法 * 


ET 


2-23 ”此 时 未 自动 安装 更 新 图 2-24 Windows Update 对 话 框 
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提示 : 只 有 第 一 次 配置 自动 更 新 时 才 会 显示 该 对 话 框 , 以 后 将 不 再 显示 。 如 果 要 让 
Windows 系统 自动 下 载 并 安装 更 新 ,可 直接 单 击 “将 Windows 设置 为 自动 安装 更 新 ”按钮 ， 
完成 系统 更 新 配置 。 

(3) 单 击 “ 让 我 选择 ”按钮 ,打开 如 图 2-25 所 示 的 “更 改 设置 ”对话 框 。 在 “选择 
Windows 安装 更 新 的 方法 ”中 ,选择 一 种 安装 方法 即 可 ,各 种 安装 方式 的 具体 含义 
如 下 。 
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Dl 
"TE., Ra 


注意 Wideve pt。 在 术 轩 其他 本 箱 之 前 ， 可 了 会 和 起 浙江 可 。 光 大 有 。 


衫 室 | 了 
图 2-25 “更 改 设置 ”对话 框 


自动 安装 更 新 (推荐 ): 服务 器 连接 到 Internet 后 ,系统 将 自动 检测 Microsoft 
Update 服务 器 是 否 有 所 需 更 新 ,如 果 有 则 将 自动 下 载 并 安装 这 些 更 新 。 选 中 该 单 选 按 钮 后 
还 需要 指定 系统 自动 安装 更 新 的 具体 时 间 。 

@ 下 载 更 新 ,但 是 让 我 选择 是 否 安装 更 新 : 仅 下 载 所 需 的 系统 更 新 ,完成 后 通知 用 户 
在 合适 的 时 间 手 动 安装 。 

@ 检查 更 新 ,但 是 让 我 选择 是 否 下 载 和 安装 更 新 : 仅 检 测 Microsoft Update 服务 器 上 
提供 的 更 新 项 目 , 并 以 列表 方式 提示 系统 管理 员 ,管理 员 可 以 根据 实际 情况 选择 需要 下 载 的 
系统 更 新 。 建 议 使 用 这 种 方式 ,可 以 减少 不 必要 的 服务 器 资源 和 网 络 带 宽 浪费 。 

@ 从 不 检查 更 新 (不 推荐 ): 关闭 系统 更 新 功能 ,建议 不 要 选择 此 项 。 

2. 安装 系统 更 新 

如 果 用 户 选择 了 “计划 安装 ”方式 , 则 安装 向 导 将 自动 下 载 并 安装 系统 更 新 ,只 是 在 必要 
时 会 提示 重新 启动 计算 机 。 

(1) 依次 选择 “开始 ”一 Windows Update 选项 ,显示 如 图 2-26 所 示 的 Windows Update 
窗口 ,提示 更 新 的 数量 和 大 小 。 

(2) 单 击 “查看 可 用 更 新 ”链接 , 显示 如 图 2-27 所 示 的 “查看 可 用 更 新 ”窗口 ,不 需要 的 
更 新 可 以 直接 取消 其 前 面 的 复 选 框 ,如 果 不 希 望 系统 再 次 提示 安装 取消 的 更 新 , 则 右 击 该 更 
新 并 选择 快捷 菜单 中 的 “隐藏 ”选项 即 可 。 

(3) 单 击 “安装 ”按钮 ,或 者 在 Windows Update 窗口 中 单 击 “ 安 装 更 新 ”按钮 ,显示 如 
图 2-28 所 示 的 窗口 ,开始 下 载 并 安装 指定 更 新 (与 管理 员 设 置 的 更 新 方式 有 关 ) 。 
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图 2-26 Windows Update 窗口 
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图 2-27 “查看 可 用 更 新 "窗口 
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图 2-28 正在 下 载 和 安装 
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(4) 安装 完成 后 ,显示 如 图 2-29 所 示 的 窗口 ,安装 结果 中 包括 安装 成 功 或 失败 的 数量 ， 
以 及 是 否 需 要 重新 启动 计算 机 。 如 果 安 装 的 更 新 涉及 的 应 用 程序 正在 运行 , 则 可 能 导致 安 
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(5) 某 些 更 新 必须 在 重新 启动 系统 后 方 可 生效 ,此 时 ,可 以 单 击 * 立 即 重新 启动 ”按钮 重 


启 计算 机 , 也 可 以 稍 后 再 重新 启动 。 系 统 默认 ,等 竺 

10 分 钟 后 自动 显示 如 图 2-30 所 示 的 对 话 框 。 在 “请 在 以 = 

下 时 间 段 之 后 提醒 我 "下 拉 列 表 框 中 选择 等 待 的 时 间 , 如 人 

“10 分 钟 "“1 小 时 ”“4 小 时 "等 。 Es ss 
(6) 单 击 “ 推 迟 " 按 钮 , 即 可 在 指定 时 间 后 再 次 收 到 该 ms 

提示 信息 ,根据 实际 情况 选择 “立即 重新 启动 ”或 “推迟 ” 图 2-30 Windows Update 对 话 杠 

按钮 即 可 。 


2.3.2 管理 系统 管理 员 账 户 


1. 更 改 Administrator 账户 名 称 

以 Administrator 账户 登录 本 地 计算 机 ,依次 选择 “开始 ”>“ 管 理工 具 ”>“ 本 地 计算 机 
管理 ”选项 ,打开 “计算 机 管理 ”窗口 ,展开 “系统 工具 ”一 “本 地 用 户 和 组 ”>“ 用 户 ” 选 项 , 右 击 
Administrator 账户 并 选择 “ 重 命名 ”选项 .输入 新 的 账户 名 称 即 可 ,如 图 2-31 所 示 。 设 计 新 
的 账户 名 称 时 ,尽量 不 要 使 用 Admin、master、guanliyuan 之 类 的 名 称 , 否 则 账户 安全 性 同样 
没有 任何 保障 。 

域 中 的 所 有 用 户 账户 默认 都 是 存放 在 域 控 制 器 的 Users 容器 中 的 ,Administrator 账户 
是 整个 域 的 超级 管理 员 用 户 。 依 次 选择 “开始 ”一 “管理 工具 ”一 “Active Directory 用 户 和 计 
算 机 ”选项 ,打开 如 图 2-32 所 示 的 “Active Directory 用 户 和 计算 机 ”窗口 ,在 Users 容器 中 
右 击 Administrator 账户 ,并 选择 快捷 菜单 中 的 “ 重 命名 ”选项 即 可 。 

输入 新 的 账户 名 并 确认 时 ,会 显示 如 图 2-33 所 示 的 “Active Directory 域 服务 ”对 话 框 ， 
建议 更 改 之 后 立即 注销 并 使 用 新 的 账户 名 登录 ,以 避免 出 现 访 问 冲 突 。 单 击 “ 是 ”按钮 ,关闭 


。® 壤 
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图 2-32 “Active Directory 用 户 和 计算 机 ”窗口 


该 对 话 框 , 稍 后 注销 当前 用 户 账户 即 可 。 

无 论 是 独立 计算 机 还 是 域 控制 器 ,都 可 以 通过 mpmmzrpgssssssssssl 
Windows 组 策略 更 改 Administrator 账户 名 称 。 如 果 是 外 和 
独立 计算 机 , 则 可 以 依次 选择 “开始 "~“ 管 理工 具 ”“ 本 
地 安全 策略 "选项 ,打开 “本 地 安全 策略 "控制 台 ; 依次 展 
开 “ 安 全 设置 "~“ 本 地 策略 ”一 “安全 选项 "选项 ,在 右 侧 图 233 “Active Directory 域 服务 " 
主 窗口 中 双击 “账户 : 重 命名 系统 管理 员 账 户 ”, 打 开 “ 账 天 活 相 
户 : 重 命名 系统 管理 员 账 户 属性 "对话 框 ,如 图 2-34 所 示 。 重 新 输入 新 的 账户 名 称 即 可 。 

如 果 是 域 控制 器 , 则 需要 依次 选择 * 开 始 " >“ 管理 工具 ”>* 组 策略 管理 * 选 项 ,找到 作用 
于 根 域 的 默认 策略 Default Domain Policy, 右 击 并 选择 快捷 菜单 中 的 “编辑 ”选项 ,打开 “组 
策略 管理 编辑 器 "窗口 ,依次 展开 “策略 ”>“Windows 设置 ”>“ 安 全 设置 ”>“ 本 地 策略 ”~ 


xw | 


图 2-34 通过 本 地 安全 策略 更 改 管理 员 账 户 名 


“安全 选项 "选项 ,双击 右 侧 主 窗口 中 的 “账户 : 重 命 名 系统 管理 员 账 户 ”, 打 开 “ 账 户 : 重 命 
名 系统 管理 员 账 户 属性 ”对话 框 ,系统 默认 是 没有 定义 该 策略 的 ,选中 * 定 义 这 个 策略 设置 
复 选 框 ,并 在 文本 框 中 输入 新 的 名 称 即 可 ,如 图 2-35 所 示 。 


[本 于 本 过 过 于 司 过 过 过 过 妇 司 切 悦 
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图 2-35 通过 域 安全 策略 更 改 管理 员 账 户 名 


2. 创建 陷阱 账号 

(1) 创建 一 个 名 称 为 Administrator 的 用 户 账户 (如 果 
原 有 管理 员 账 户 没 有 被 更 名 则 可 以 创建 一 个 名 称 类 似 的 账 
户 , 如 Admin 等 ) ,并 输入 一 个 复杂 程度 极 高 的 安全 密码 ， 
选中 “密码 永 不 过 期 " 复 选 框 ,如 图 2-36 所 示 。 

(2) 单 击 “ 创 建 ”按钮 , 即 可 创建 该 账户 。 

(3) 将 其 从 Users 组 中 删除 , 即 可 避免 其 集成 来 自 
Users 组 的 用 户 权限 ,如 图 2-37 所 示 。 选 择 陷阱 账户 
Administrator 并 单 击 “ 删 除 ” 按 钮 ,将 其 删除 。 最 后 单 击 图 2-36 创建 陷阱 账户 


og@ 
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“确定 ”按钮 保存 。 
(4) 双击 陷阱 账户 ,打开 用 户 账户 属性 对 话 框 ,将 其 各 种 权限 设置 为 最 低 。 例 如 ,在 “ 挨 
人 ”选项 卡 中 选中 “拒绝 访问 " 单 选 按 钮 ,如 图 2-38 所 示 。 


ini strster 属性 EE 
保本 | 于 必 于 | 到 9 件 | 于 法 | 去 和 | 
远近 制 。。 | 二 服务 本 轩 文 件 入 


[wn Po I | 


图 2-37 删除 Users 组 中 的 陷阱 账户 2-38 限制 陷阱 账户 的 权限 


(5) 单 击 “ 确 定 ” 按 钮 ,保存 设置 。 
提示 : 除 此 之 外 ,还 可 以 在 所 有 磁盘 分 区 的 NTFS 权限 列表 中 一 一 删除 陷阱 账户 的 各 
种 权限 。 总 之 ,使 其 不 具备 任何 操作 权限 ,即使 被 盗用 也 无 法 进行 任何 破坏 操作 。 


2.3.3 用 户 密码 安全 设置 


入 侵 者 若 想 盗 取 系统 内 的 重要 数据 信息 或 执行 某 项 管理 功能 ,就 必须 先 获得 管理 员 权 
限 , 即 破解 管理 员 账 户 密码 。 密 码 破解 软件 工作 机 制 主要 包括 3 种 : 巧妙 猜测 .词典 攻击 和 
自动 尝试 字符 组 合 。 从 理论 上 讲 , 只 要 有 足够 时 间 , 使 用 这 些 方法 可 以 破解 任何 账户 密码 ， 
破解 一 个 弱 密 码 可 能 只 需 几 秒 钟 即 可 完成 ,而 要 破解 一 个 安全 性 较 高 的 强 密 码 则 可 能 需要 
几 个 月 甚至 几 年 的 时 间 。 因 此 ,系统 管理 员 账 户 必须 使 用 强 密码 ,并 且 经 常 更 改 密码 。 

1. 注意 事项 

在 设置 管理 员 账 户 密码 时 ,应 注意 以 下 问题 。 

(1) 不 可 使 账号 与 密码 相同 。 如 果 将 用 户 账 号 与 密码 设置 为 相同 ,在 一 定 范 围 内 账户 
是 公开 的 ,而 此 时 的 密码 也 就 毫 无 安全 可 言 。 

(2) 不 可 使 用 管理 员 姓 名 或 企业 名 称 。 使 用 管理 员 的 姓名 或 者 企业 名 称 作 为 密码 , 实 
在 是 不 堪 一 击 , 对 于 本 单位 和 熟悉 本 单位 的 人 而 言 , 各 种 容易 想到 的 名 称 无 疑 是 攻击 的 首 
选 。 另 外 ,在 许多 黑客 编写 的 字典 中 ,往往 将 百 家 姓 一 一 列 出 ,并 放 在 字典 的 前 列 。 

(3) 不 可 使 用 英文 词组 。 常 用 英文 单词 或 词组 虽然 便于 记忆 ,但 这 同样 是 黑客 攻击 字 
典 不 会 错过 的 ,因此 安全 性 不 高 。 

(4) 不 可 使 用 特定 意义 的 日 期 。 以 具有 特定 意义 的 日 期 作为 密码 是 任何 人 都 十 分 喜爱 
的 ,这 一 类 日 期 通常 有 自己 生日 、 父 母 生日 .儿女 生日 .朋友 生日 .重大 节日 个 人 纪念 日 等 。 
不 仅 很 容易 被 熟悉 的 人 猜 到 ,即使 是 陌生 人 也 可 以 通过 穷 举 的 方式 而 得 手 。 

(5) 切 不 可 使 用 简短 的 密码 。 简 短 密码 便于 记忆 ,破解 起 来 也 更 加 不 堪 一 击 。 一 个 穷 
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举 软件 每 秒 钟 可 以 重 试 10 万 次 之 多 ,字数 越 少 ,字符 越 简单 化 ,排列 组 合 的 结果 也 就 越 少 ， 
也 就 越 容易 被 攻破 。 

2. 安全 密码 原则 

若 欲 保证 账户 密码 的 安全 ,应 当 遵循 以 下 规则 。 

(1) 用 户 密 码 应 包含 英文 字母 的 大 小 写 ,数字 、 可 打印 字符 ,甚至 是 非 打 印字 符 ,将 这 些 
符号 排列 组 合 使 用 ,以 期 达到 最 好 的 保密 效果 。 

(2) 用 户 密码 不 要 太 规 则 ,不 要 将 用 户 姓 名 、 生 日 和 电话 号 码 作 为 密码 。 不 要 用 常用 单 
词 作 为 密码 。 

(3) 根据 黑客 软件 的 工作 原理 ,参照 密码 破译 的 难 易 程 度 , 以 破解 需要 的 时 间 为 排序 指 
标 , 密 码 长 度 设置 时 应 遵循 7 位 或 14 位 的 整数 倍 原则 。 

(4) 在 通过 网 络 验 证 密码 过 程 中 ,不 得 以 明文 方式 传输 ,以 免 被 监听 截取 。 

(5) 密码 不 得 以 明文 方式 存放 在 系统 中 ,确保 密码 以 加 密 的 形式 写 在 硬盘 上 并 包含 密 
码 的 文件 是 只 读 的 。 加 密 的 方法 很 多 ,如 基于 单 向 函数 的 密码 加 密 , 基 于 测试 模式 的 密码 加 
密 , 基 于 公 钥 加 密 方案 的 密码 加 密 ,基于 平方 剩余 的 密码 加 密 ,基于 多 项 式 共享 的 密码 加 密 ， 
基于 数字 签名 方案 的 密码 加 密 等 。 经 过 上 述 方法 加 密 的 密码 ,即使 是 系统 管理 员 也 难以 
得 到 。 

(6) 密码 应 定期 修改 ,应 避免 重复 使 用 旧 密 码 , 应 采用 多 套 密码 的 命名 规则 。 

(7) 建立 账号 锁定 机 制 。 一 旦 同一 账号 密码 校 验 错误 若干 次 即 断 开 连 接 并 锁定 该 账 
号 ,经 过 一 段 时 间 才 解锁 。 

(8) 由 网 络 管理 员 设 置 一 次 性 密码 机 制 , 用 户 在 下 次 登录 时 必须 更 换 新 的 密码 。 

3. 系统 账户 密码 要 求 

在 Windows Server 2008 系统 中 ,安装 系统 的 同时 就 要 求 管理 员 必 须 指 定 符合 要 求 的 
安全 密码 ,大 大 提高 了 用 户 账户 和 系统 的 安全 性 。 通 常情 况 下 , Windows Server 2008 网 络 
中 ,对 用 户 账户 密码 要 求 如 下 。 

(1) 不 包含 全 部 或 部 分 的 用 户 账户 名 。 

(2) 长 度 至 少 为 6 个 字符 。 

(3) 包含 来 自 以 下 4 个 类 别 中 的 3 个 的 字符 。 

QO@ 大 写 英 文字 母 (从 A 一 Z) 。 

@ 小 写 英 文字 母 (从 a~z) 。 

@ 10 个 基本 数字 (从 0 一 9) 。 

@ 非 字 母 字符 (例如 ,!、$ 、# 、%)。 

对 于 未 安装 Active Directory 服务 的 Windows Server 2003 计算 机 或 修改 了 Windows 
Server 2003/2008 默认 组 策略 的 计算 机 ,其 用 户 账户 密码 可 以 随意 设置 。 

强 密码 具有 以 下 特征 。 

(1) 长 度 至 少 有 7 个 字符 。 

(2) 不 包含 用 户 的 生日 .电话 ,用户 名 、 真 实 姓 名 或 公司 名 等 。 

(3) 不 包含 完整 的 字典 词汇 。 

(4) 包含 全 部 下 列 4 组 字符 类 型 。 大 写字 母 (A 一 Z) 、 小 写字 母 (a~z) 数字 (0 一 9) . 非 
字母 学 符 ( 一 :中 @ os 外 人 Gd 
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除 此 之 外 ,管理 员 账 户 的 密码 应 当 定 期 修改 ,尤其 是 当 发 现 有 不 良 攻击 时 ,更 应 及 时 修 
改 复杂 密码 ,以 避免 被 破解 。 为 避免 密码 因 过 于 复杂 而 忘记 ,可 用 笔记 录 下 来 ,并 保存 在 安 
全 的 地 方 ,或 随身 携带 避免 丢失 。 其 实 , 最 安全 的 方法 就 是 不 使 用 常规 密码 ,而 采用 电子 密 
钥 等 一 些 几 乎 无 法 破解 的 登录 方式 ,确保 系统 安全 性 。 


2.3.4 配置 Internet 连接 防火 墙 


Internet 连接 防火 墙 (Internet Connection Firewall,ICF) 是 Windows 系统 的 内 置 防火 
墙 ,不仅 可 以 阻止 来 自 外 部 网 络 的 恶意 访问 或 攻击 ,还 可 以 阻止 当前 服务 器 向 其 他 计算 机 发 
送 恶意 软件 。Windows Server 2008 系统 的 ICF 默认 情况 下 已 经 启动 ,管理 员 可 以 根据 需 
要 进行 配置 。 如 果 服 务 器 已 经 连接 到 网 络 , 则 网 络 访问 策略 的 设置 可 能 会 阻止 管理 员 对 
Windows 防火 墙 的 配置 。 

(1) 在 Windows Server 2008 的 “控制 面板 ”窗口 中 ,双击 “Windows 防火 墙 ? 图 标 , 显 示 
如 图 2-39 所 示 的 窗口 。 本 例 中 的 Windows 防火 墙 已 启用 。 


Windows 防火 墙 
Windows 隐 炎 过 和 有 取 于 访 上 项 肛 天生 钦 伯 于 过 网 壤 砚 Internet 认 有 的 计 科 机 
[2 


网 wndow Wk EEMNG Ct EN 


Windows 名 火 卉 已 用 ， san 
2 有 只 复 的 入 站 连 更 
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2-39 “Windows 防火 墙 ” 窗 口 


(2) 单 击 “ 启 用 或 关闭 Windows 防火 墙 ? 链 接 , 打 开 如 图 2-40 所 示 的 “Windows 防火 墙 
设置 ”对 话 框 ,系统 默认 选中 “启用 ” 单 选 按钮 。 如 果 同 时 选中 “阻止 所 有 传人 连接 ” 复 选 框 ， 
则 防火 墙 将 阻止 所 有 主动 连接 当前 服务 器 的 尝试 ,除非 需要 为 该 服务 器 提供 最 大 限度 的 保 
护 时 , 才 使 用 该 设置 ,启用 该 设置 后 将 忽略 “例外 ”列表 中 的 所 有 设置 。 通 常情 况 下 ,不 推荐 
选中 该 复 选 框 。 

(3) 打开 “例外 ”选项 卡 或 者 在 “Windows 防火 墙 ” 窗 口中 , 单 击 “ 允 许 程序 通过 
Windows 防火 墙 ?链接 ,显示 如 图 2-41 所 示 的 “例外 ”选项 卡 , 在 “程序 或 端口 "列表 中 ,选中 
该 服务 器 欲 提供 的 网 络 服务 即 可 。 

提示 : 在 “高 级 安全 Windows 防火 墙 ? 工 具 中 ,也 可 以 查看 Windows 防火 墙 的 “例外 ” 
设置 。 
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图 2-40 “Windows 防火 墙 设置 ?对 话 框 图 2-41 “例外 ”选项 卡 


(4) 单 击 “ 添 加 端口 ”按钮 ,打开 如 图 2-42 所 示 的 “添加 端口 "对话 框 , 即 可 向 列表 中 增 
加 新 的 网 络 服务 所 使 用 的 TCP 或 UDP 端口 。 在 “名 称 ” 文 本 框 中 输入 便于 识别 的 名 称 ,如 
telnet; 在 “端口 号 "文本 框 中 输入 想 要 添加 的 端口 ,如 23; 根据 需要 选择 TCP 或 UDP 端口 


类 型 。 
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图 2-42 “添加 端口 "对话 框 图 2-43 “更 改 范围 "对话 框 


(5) 单 击 “ 更 改 范围 ”按钮 ,打开 如 图 2-43 所 示 的 “更 改 范围 对话 框 。 指 定 详细 的 限定 
范围 可 以 提高 防火 墙 策略 的 安全 性 。 上 默认 情况 下 ,开放 的 防火 墙 端口 适用 于 任何 计算 机 ( 包 
括 Internet 上 的 计算 机 )。 

提示 : 选中 “ 仅 我 的 网 络 ( 子 网 )” 单 选 按钮 , 则 开放 
端口 仅 适用 于 本 地 计算 机 所 在 子 网 ,对 其 他 用 户 仍然 关 
闭 。 选 中 “ 自 定 义 列表 ” 单 选 按钮 , 则 可 以 根据 需要 指定 
详细 的 IP 地 址 或 子 网 范围 。 

(6) 单 击 “ 高 级 ”标签 切换 至 如 图 2-44 所 示 的 “高 
级 ?选项 卡 ,在 “网 络 连接 设置 ?选项 区 域 , 可 以 设置 接受 
Windows 防火 墙 保 护 的 网 络 连接 ,默认 为 所 有 本 地 连接 。 
在 “默认 设置 ?选项 区 域 , 单 击 * 还 原 为 默认 值 ?按钮 即 可 
撤销 所 有 Windows 防火 墙 设置 ,恢复 至 初始 状态 。 需 要 sess an 
注意 的 是 ,必须 是 本 地 计算 机 上 Administrators 组 的 成 EE EE 
员 ,或 者 是 被 委派 了 适当 的 权限 的 用 户 , 才 可 以 还 原 


图 2-44 “高 级 ”选项 卡 


日 
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Windows 防火 墙 默 认 设置 。 如 果 计 算 机 已 经 加 入 到 某 个 域 中 , 则 DomainAdmins 组 的 成 员 
可 以 执行 该 过 程 。 

提示 : 与 Windows Server 2003 的 Internet 防火 墙 不 同 的 是 ,“ 高 级 ”选项 卡 中 的 ICMP 
相关 设置 ,已 被 转移 到 “高 级 安全 Windows 防火 墙 ” 

(7) 单 击 “ 确 定 ” 按 钮 ,保存 设置 即 可 。 


2.3.5 配置 默认 共享 


默认 共享 主要 是 为 了 方便 网 络 管理 员 管 理 网 络 中 的 计算 机 ,特别 是 在 基于 域 的 网 络 中 ， 
专门 有 几 个 默认 共享 用 于 存储 用 户 配置 文件 是 非常 方便 的 。 但 是 ,默认 共享 在 方便 管理 的 
同时 ,也 给 计算 机 的 安全 埋 下 了 重大 安全 隐 如 果 知 道 了 管理 员 账 户 和 密码 ,任何 人 都 能 
访问 计算 机 ,所 以 如 果 管 理 员 账 户 密码 被 亚 户 窃 取 , 对 于 计算 机 的 安全 来 说 是 非常 不 
利 的 。 

1. 查看 默认 共享 

(1) 命令 行 方式 

如 果 想 要 查看 本 地 计算 机 目前 所 打开 的 默认 共享 ,可 以 在 本 地 计算 机 的 命令 提示 符 下 ， 
使 用 net share 命令 来 查看 系统 目前 所 有 的 共享 的 目录 。 在 这 些 所 列 出 的 共享 目录 中 ,不 但 
包括 默认 共享 ,还 包括 系统 除 默 认 共 享 以 外 的 所 有 共享 目录 

在 命令 行 提 示 符 下 ,输入 如 下 命令 : 


net share 


按 Enter 键 ,命令 成 功 执行 ,如 图 2-45 所 示 


注解 


图 2-45 net share 的 执行 结 


在 这 里 所 显示 的 就 是 系统 的 所 有 共享 目录 ,这 里 主要 包括 IPC$ 默认 共 享 、 罗 辑 磁盘 共 
享 D$ .C$ ,系统 目录 共享 ADMIN$ 。 

(2) 图 形 窗 口 方式 

如 果 用 户 对 在 命令 提示 符 下 的 操作 不 是 很 熟悉 .还 可 以 使 用 图 形 方式 ,查看 目前 系统 的 
默认 共享 目录 。 

以 管理 员 账 户 登 录 系 统 , 依 次 选择 “开始 "一 “管理 工具 ”一 “计算 机 管理 ?选项 ,打开 * 计 
算 机 管理 窗口。 依次 展开 * 系 统 工 具 ” 一 “共享 文件 夹 ”一 * 共 享 ” 选 项 ,如 图 2-46 所 示 。 共 
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享 列表 中 显示 的 就 是 本 地 计算 机 上 已 经 设置 的 所 有 共享 。 


| 名 计 中 机 合理 91y 
文件 史 ， 所 人 欠 。 下 看 0 大 动 

和 中 | 半 | 开 DEF 
ESEEREEEZ 
a 


| 到 


图 2-46 ”共享 文件 来 


2. 停止 默认 共享 

(1) 使 用 net share 命令 

在 命令 行 提 示 符 下 ,输入 如 下 命令 : 
net share d$ /delete 


按 Enter 键 ,命令 成 功 执行 , 即 可 停止 共享 ,如 图 2-47 所 示 。 


图 2-47 删除 D$ 默 认 共享 


其 中 D$ 表示 系统 默认 共享 DD 盘 , 其 他 如 C$ 、ADMIN $ 、IPC$ 等 都 可 以 使 用 此 种 格 
式 删 除 。 

在 /delete 前 必须 要 有 空格 。 可 以 使 用 net share ADMIN $ 或 net share IPC $ 建立 
ADMIN$ 或 IPC$ 共 享 ( 如 果 共 享 存在 , 则 为 显示 共享 ) ,但 需要 注意 的 是 ,其 他 共享 则 不 能 
使 用 该 方法 来 建立 默认 共享 。 

如 果 需 要 删除 所 有 的 默认 共享 ,可 以 使 用 脚本 命令 ( 批 处 理 文件 方式 ) 完 成 ( 即 扩展 名 
为 . bat 的 文件 ) : 


net share IPC $ /delete 


他 
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net share Admin$ /delete 
net share C$ /delete 
net share D$ /delete 


默认 共享 的 盘 符 可 以 根据 需要 使 用 脚本 命令 分 别 删除 ,该 批 处 理 文件 可 以 在 命令 提示 
符 下 运行 ,也 可 以 将 其 添加 到 启动 项 中 ,如 图 2-48 所 示 。 这 里 创建 一 个 名 为 share. bat 的 批 
处 理 文件 ,用 以 将 系统 的 默认 共享 删除 ,并 在 命令 提示 符 下 运行 


图 2-48 在 命令 提示 符 下 运行 批 处 理 文件 


(2) 关闭 Server 服务 
要 认 共 享 使 用 的 是 计算 机 系统 的 Server 服务 ,如 果 将 该 服务 直接 关闭 ,就 可 以 直接 删 


@ 依次 选择 “开始 ”一 “管理 工具 ”>“ 服 务 ” 选 项 ,打开 “服务 ”窗口 ,双击 Server 服务 , 打 
ee 的 属性 (本 地 计算 机 )” 对 话 框 ,如 图 2-49 所 示 。 在 “启动 类 型 "下 拉 列 表 框 中 , 选 
“手动 ”选项 ,以 免 再 次 重新 启动 系统 时 服务 随 之 启动 。 


[SR oy 
ET 

-中 日 LE 

服务 呈 地 ) | 


”La | tn | wm | sso | 
St BR, SE 


Rf 


图 2-49 “Server 的 属性 (本 地 计算 机 )” 对 话 框 
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加 单 击 “ 停 止 ?按钮 ,开始 停止 Server 服务 。 完 成 后 单 击 “ 确 定 ” 按 钮 保存 设置 。 再 次 打 
开 命令 提示 符 窗 口 ,输入 如 下 命令 : 

net share 

按 Enter 键 , 显 示 如 图 2-50 所 示 的 结果 ,提示 Server 服务 没有 启动 ,直接 输入 n 并 按 
Enter 键 即 可 。 


[cs sors aanintstracery 


使 用 这 种 方法 停止 默认 共享 后 ,其 他 共享 也 将 同时 被 取消 ,应 慎重 选择 

(3) 修改 注册 表 

使 用 前 面 两 种 方法 完成 停止 系统 默认 共享 , 当 系统 重新 启动 后 ,默认 共享 会 重新 恢复 。 
如 果 用 户 需要 永久 性 地 停止 系统 默认 共享 ,可 以 通过 修改 注册 表 的 方法 来 实现 。 停 止 系统 
默认 共享 的 键 值 ,默认 情况 下 在 Windows 操作 系统 上 不 存在 ,需要 用 户 手动 添加 该 键 值 , 修 
改 后 重新 启动 计算 机 即 可 使 该 键 值 生效 。 

QO 单 击 “ 开 始 ” 按 钮 ,在 “开始 搜索 ”文本 框 中 ,输入 regedit 并 按 Enter 键 ,打开 “注册 表 
编辑 器 ”窗口 。 依 次 展开 如 下 注册 表 子 项 : 

HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ 


AutotunedParameters, 如 图 2-51 所 示 。 


[IETIDI | 
到 | 


文件 0) 坊 久 中 


Nm oer tot mi ms 


图 2-51 展开 的 注册 表 项 目 
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@ 在 右 侧 的 空白 窗口 中 右 击 ,在 快捷 菜单 中 选择 “新 建 ? 选 项 ,在 子 菜单 中 选择 “Dword 


值 ? 选 项 ,新 建 一 个 名 为 AutoShareServer 的 DWORD 值 , 并 将 其 赋值 为 : 00000000, 如 图 2-52 
所 示 。 


aa 
EECETEETII 


.A) 3 (入 未 设置] 
pm oo 四 


图 2-52 创建 DWORD 值 


(4) Microsoft 网 络 的 文件 和 打印 机 共享 

除 使 用 修改 注册 表 的 方法 外 ,还 可 以 使 用 印 载 TCP/IP 组 件 相关 项 目的 方法 ,同样 也 可 
以 关闭 默认 共享 。 

QO 在 “控制 面板 ”窗口 中 ,打开 “网 络 和 共享 中 心 ” 窗 口 。 单 击 “ 查 看 状态 ”按钮 ,打开 
“本 地 连接 状态 ”对 话 框 , 单 击 “ 属 性 ”按钮 ,显示 如 图 2-53 所 示 的 “本 地 连接 属性 ”对 

@ 选中 “Microsoft 网 络 的 文件 和 打印 机 共享 " 复 选 框 , 单 击 “ 秃 载 " 按 钮 ,系统 提示 确认 
删除 信息 ,显示 如 图 2-54 所 示 的 “ 印 载 Microsoft 网 络 的 文件 和 打印 机 共享 ”对 话 框 。 

@ 单 击 “ 是 ”按钮 , 即 可 完成 “Microsoft 网 络 的 文件 和 打印 机 共享 ”项 目的 印 载 。 


| 


人 人 人 人 
| tn 


一 am | 


图 2-53 “本 地 连接 属性 ?对 话 框 图 2-54 外 载 信息 提示 
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2.3.6 系统 服务 安全 


系统 服务 对 于 服务 器 系统 的 重要 性 不 言 而 喻 .同时 对 于 系统 安全 的 意义 也 是 非常 重大 
的 。 所 有 系统 应 用 都 依赖 于 不 同 的 服务 ,通过 控制 系统 服务 的 状态 ,可 以 限制 相应 功能 的 开 
启 或 关闭 ,从 而 确保 系统 的 安全 。 默 认 情 况 下 ,大 多 数 系 统 服务 的 登录 账户 都 是 “本 地 系统 
账户 ”。 如 有 特殊 需要 ,可 按照 如 下 步骤 更 改 为 其 他 账户 。 

(1) 依次 选择 “开始 ”一 “管理 工具 ”一 “服务 ”选项 ,打开 “服务 ”窗口 。 双 击 需 要 更 改 登 
录 账 户 的 服务 (如 Windows Installer 服务 ) ,打开 服务 属性 对 话 框 ,切换 至 如 图 2-55 所 示 的 
“登录 ”选项 卡 , 上 默认 选中 “本 地 系统 账户 " 单 选 按 钮 。 

注意 : 建议 不 要 选中 “允许 服务 与 桌面 交互 ”" 复 选 框 。 如 果 允 许 服务 与 桌面 交互 , 则 服 
务 在 桌面 上 显示 的 任何 信息 也 都 会 显示 在 交互 用 户 的 桌面 上 。 恶 意 用 户 可 能 会 获得 对 该 服 
务 的 控制 权 , 或 从 交互 桌面 攻击 它 。 

(2) 选中 “此 账户 " 单 选 按 钮 , 单 击 " 浏 览 ” 按 钮 ,打开 “选择 用 户 ” 对 话 框 ,在 “输入 要 选择 
的 对 象 名 称 ( 例 如 ) ”文本 框 中 输入 想 要 设置 的 登录 账户 ,如 图 2-56 所 示 。 也 可 以 单 击 “ 高 
级 "按钮 ,从 用 户 列表 中 搜索 目标 账户 。 


图 2-55 “登录 ”选项 卡 图 2-56 更 改 账户 


(3) 单 击 “ 确 定 ” 按 钮 , 即 可 将 所 选 账户 添加 到 “此 账户 ”文本 框 中 。 本 例 中 使 用 的 Local 
Service 账户 ,密码 必须 为 空 ,如 图 2-57 所 示 。 如 果 选 择 其 他 账户 , 则 在 “密码 ”和 “确认 密 
码 ” 文 本 框 中 输入 用 户 账户 的 密码 即 可 。 

(4) 单 击 “ 应 用 ”按钮 ,显示 如 图 2-58 所 示 的 对 话 框 ,提示 已 经 成 功 授予 用 户 账户 “以 服 
务 方式 登录 ”的 权利 。 

(5) 单 击 “确定 ”按钮 ,保存 设置 即 可 。 需 要 注意 的 是 ,必须 重新 设置 服务 才 可 使 更 改 
生效 。 


2.3.7 用 户 账户 控制 


UAC 要 求 所 有 用 户 在 标准 账号 模式 下 运行 程序 和 任务 ,阻止 未 认证 的 程序 安装 ,并 阻 
止 标准 用 户 进行 不 当 的 系统 设置 改变 。UAC 可 以 防止 恶意 软件 获取 特权 ,即使 用 户 是 以 管 
理 员 账户 登录 的 也 可 以 起 到 保护 作用 。 


归 ”要 录 | 作 槛 | 依存 关系 | 
如 好 身份 


个 本 地 系 纺 正 户 忆 ) 
PF FSA) 


图 2-57 本 地 服务 


1. 开启 或 关闭 用 户 账户 控制 
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| 
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图 2-58 登录 账户 更 改 成 功 


Windows Vista 系统 的 用 户 账 户 控 制 功能 默认 是 开启 的 ,建议 保持 开启 状态 。 如 果 由 


于 其 他 原因 临时 关闭 ,应 按照 如 下 方法 重新 开启 。 


(1) 在 “控制 面板 ”窗口 (经 典 视图 ) 中 ,双击 “用 户 账户 ”图 标 ,打开 如 图 2-59 所 示 的 “用 


户 账户 ”窗口 。 


(2) 单 击 “打开 或 关闭 用户 账户 控制 ”链接 ,打开 如 图 2-60 所 示 的 “打开 或 关闭 “用 户 
账户 控制 ”窗口 ,确保 选中 ”使 用 用 户 账户 控制 (UAC) 帮 助 保护 您 的 计算 机 ?” 复 选 框 即 可 。 


[ER 


加 
| 
六 作 中 全 面相 加 了 内 轴 有 
人 A yy 
ER 
- ee [了 we 
i 
用 户 了 人 人 性 和 
ET 
© Ente 


仁和 下 关闭“ 周记 必 记 检 制 ” 


FE 


"er 回 


文件 四 届 重 加 二 看 WD 工具 Q) 部 助 0 


打开 用 户 虫 户 控 制 WAC) 以 全 人 的 计算 机 本 安全 
用 户 对 户 控制 nc) 基 卫 全 用 此 对 计 其 机 进行 经 授 和 的 更 小 。 我 们 建议 您 运行 WE 款 保 护 他 8 和 关机 > 
使 朋 用 户 际 户 控制 tC) 于 由 护 人 99 计 基 机 


| 


到 
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图 2-59 “用 户 账户 ”窗口 


2-60 “打开 或 关闭 "用 户 账户 控制 ”窗口 


(3) 单 击 “确定 ”按钮 ,关闭 窗口 即 可 。 开 启 * 用 户 账户 控制 ?功能 后 , 非 管理 员 账 户 执行 
某 些 操作 时 ,就 会 出 现 如 图 2-61 所 示 的 “用 户 账户 控制 ”对 话 框 。 通 常情 况 下 , 当 需 要 权限 
或 密码 才能 完成 任务 时 ,UAC 会 提示 下 列 消息 之 一 。 

OOD Windows 需要 您 的 许可 才能 继续 。 表 示 用 户 执 行 的 操作 可 能 会 影响 本 地 计算 机 其 
他 用 户 的 Windows 功能 或 应 用 程序 运行 。 

@ 程序 需要 您 的 许可 才能 继续 。 表 示 用 户 执 行 的 程序 不 属于 Windows 的 一 部 分 , 系 
统 要 求 指明 其 名 称 和 发 布 者 有 效 的 数字 签名 ,该 数字 签名 可 以 帮助 确保 该 程序 正 是 其 所 声 


明 的 程序 。 
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@ 一 个 未 能 识别 的 程序 要 访问 您 的 计算 机 。 未 能 识别 的 程序 是 指 不 具备 发 行者 提供 
的 数字 签名 的 应 用 程序 ,此 类 程序 存在 一 定 的 危险 性 ， 
应 该 特别 注意 并 且 仅 当 其 获取 可 信任 资源 时 , 才 可 以 继 
续 执行 程序 。 

@ 此 程序 已 被 阻止 。 表 明 管理 员 已 阻止 当前 幅 
户 在 该 计算 机 上 运行 指定 的 应 用 程序 , 若 要 继续 执 。 me "em sererwe”， 
行 ,必须 与 管理 员 联 系 ,并 且 请 求 其 解除 对 此 程序 的 。 | 一 
阻止 。 

2. 设置 “用 户 账户 控制 "提示 信息 a Cede 

管理 员 还 可 以 根据 需要 ,设置 "用户 账户 控制 "功能 - 一 
中 不 同 的 提示 消息 和 行为 ,例如 需要 允许 其 他 用 户 账户 。 国 ?6 “用 访 联 户 控制 ”对话 
暂时 具有 安装 程序 或 执行 某 种 操作 的 权限 时 ,每 一 步 操作 都 要 提示 “用 户 账户 控制 "信息 , 显 
然 非常 麻烦 。 此 时 ,可 通过 修改 “用 户 账户 控制 "使 其 可 以 直接 操作 ,而 不 必 提 供 管理 员 账户 
密码 等 凭证 。 需 要 注意 的 是 ,修改 后 可 能 会 对 系统 安全 性 或 用 户 的 权限 造成 影响 。 

(1) 以 本 地 计算 机 Administrators 组 中 的 成 员 账 户 登 录 系 统 ,依次 选择 “控制 面 
板 ”~“ 管 理工 具 ”~“ 本 地 安全 策略 ”选项 ,在 “本 地 安全 策略 ”窗口 中 展开 “本 地 策略 ”一 “ 安 
全 选项 "选项 ,找到 * 用 户 账户 控制 "相关 策略 部 分 ,如 图 2-62 所 示 。 

(2) 双击 “用 户 账户 控制 : 管理 员 批 准 模式 中 管理 员 的 提升 提示 行为 "策略 ,打开 如 
图 2-63 所 示 的 对 话 框 ,默认 设置 为 同意 提示 。 该 策略 主要 用 于 限制 , 当 用 户 执行 需要 经 系 
统管 理 员 批准 的 操作 时 的 提示 行为 。 


| 
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城 成员: 对 才 特 反 进 行 地 ; 可 能 ) 
对 安全 多 洒 折 据 进行 搜 字 加 证 或 才 字 蔚 名 ( 凤 终 ) 已 和 
城 成山: 对; 1 溢 扑 所 进行 堵 字符 人 (各 果 可 能 》 已 自用 | 
二 世 员 ， 计 敌 机 条 户 王 最 长 人 有 加 天 
二 或 员 村 计算 条 主人 局 有 
Qinden: 2000 或 更 高 杨 本 ) 会 庄 宣 诅 已 后 用 
卉 控制 总，LDP 服务 关注 名 要 : 没有 定义 
卉 控制 器， 拒 欣 计 站 机 体 户 宇 码 更 的 没有 定义 
才 近 外 虹 _ 多 这 服务 加 所 作者 计划 和 没有 证 本 
一 一 一 
[ [ i [mw ee | 
图 2-62 “本 地 安全 策略 "窗口 图 2-63 “用 户 账户 控制 : 管理 员 批 准 模 
式 中 管理 员 的 提升 提示 行为 属 
性 ”对 话 框 


提示 : 该 安全 策略 的 提示 行为 包括 以 下 几 个 选项 。 

| 同意 提示 。 需 要 提升 权限 的 操作 将 提示 许可 管理 员 选 择 允许 或 拒绝 。 如 果 许 可 管 
理 员 选择 允许 , 则 操作 将 使 用 可 用 的 最 高 权限 继续 进行 。 此 选项 允许 用 户 输入 其 姓名 和 密 
码 来 执行 特权 任务 。 
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加 提示 凭据 。 需 要 提升 权限 的 操作 将 提示 许可 管理 员 输 入 其 用 户 名 和 密码 。 如 果 用 
户 输入 有 效 赁 据 , 则 操作 将 使 用 适用 权限 继续 进行 。 

加 不 提示 ,直接 提升 。 此 选项 允许 许可 管理 员 执 行 需要 无 许可 或 凭据 的 提升 的 操作 。 
需要 注意 的 是 ,此 方案 仅 用 于 大 多 数 限制 的 环境 中 。 

(3) 单 击 “确定 ”按钮 ,保存 设置 即 可 。 同 时 ,管理 员 可 以 使 用 该 方法 更 改 与 “用 户 账 户 
控制 ?功能 相关 的 其 他 策略 。 

3. UAC 的 应 用 类 型 

UAC 的 主要 功能 是 对 本 地 系统 用 户 账 户 操作 进行 控制 和 限制 ,例如 用 户 运 行 系统 管理 
程序 .安装 应 用 程序 或 修改 系统 设置 的 操作 等 。 普 通用 户 只 需 得 到 管理 员 账 户 的 授权 ,就 可 
以 实现 所 需 的 管理 操作 。 

应 用 程序 尝试 使 用 管理 员 的 完全 存 取 令 牌 运 行 时 , Windows Vista 和 Windows Server 
2008 会 分 析 可 执行 文件 以 确定 其 发 行者 ,并 使 用 此 信息 来 决定 正确 的 用 户 体验 。 例 如 ,在 
如 图 2-64 所 示 的 “用 户 账户 控制 ”对话 框 中 ,提示 信息 背景 颜色 为 灰色 ,表明 需要 管理 权限 
的 应 用 程序 是 通过 代码 验证 签名 的 , 且 属 于 本 地 计算 机 的 信任 程序 ,如 Microsoft 防火 墙 客 
户 端 和 ISA(Internet Security and Acceleration Server) 服 务 器 。 

在 如 图 2-65 所 示 的 “用 户 账户 控制 ?对 话 框 中 ,提示 信息 背景 颜色 为 黄色 ,表明 需要 管 
理 权限 的 应 用 程序 不 具有 正确 代码 验证 签名 ,因此 运行 它 是 有 一 定 风险 的 。 


| 到 NN 请 不 要 运行 由 程 


用 户 环 户 御 
全 尝 要 多 的 许可 才 乱 继 纺 


如 果 已 启动 此 程序 ， 请 继续 


广 sbinacl 
[yee 
若 要 继 纺 ， 请 嫂 和 管理 员 宣 码 ， 代 后 单 而“ 确定 ”* 


ciweacswsuawgppseslecaregspmo .Vertsid ns 
CE 


着 要 维 绪 ， 请 键入 管理 贡 密 码 ， 然 后 单 击 “确定”。 


| "ms 


| 中 [CE] _™w | Wei o) D2 
用 户 帐户 控制 郝 盈 停止 对 您 的 计算 机 的 未 经 摄 权 的 更 欢 。 用 户 巾 户 控制 帮助 停止 对 全 的 计 算 机 9 未 经 授权 的 更 欢 。 
图 2-64 应 用 程序 已 由 代码 验证 签名 图 2-65 应 用 程序 未 经 签名 时 的 提示 信息 


且 受 本 地 计算 机 信任 


在 如 图 2-66 所 示 的 对 话 框 中 ,提示 信息 背景 颜色 为 红色 ,并 且 盾 牌 图 标 也 变 为 “ 红 底 白 
又 号 ,表明 需要 管理 权限 的 应 用 程序 来 自 被 阻止 或 是 非 受信 的 发 布 者 。 管 理 员 可 以 将 发 布 
者 签名 证 书 存放 在 本 地 计算 机 的 非 受 信 证 书库 中 ,以 便 阻 止 特定 的 发 布 者 ,当然 ,也 可 以 使 
用 组 策略 来 达到 同样 的 目的 。 

注意 : UAC 对 话 框 会 根据 发 布 者 的 代码 验证 签名 信任 级 别 , 来 决定 其 所 显示 的 细节 信 
息 , 包 括 可 执行 名 称 和 路 径 。 

通常 情况 下 ,控制 面板 ”窗口 中 的 某 些 组 件 配置 窗口 中 会 显示 UAC 提示 验证 图 标 , 如 
图 2-67 所 示 的 “日 期 和 时 间 ? 对 话 框 。 默 认 用 户 可 以 查看 时 钟 和 更 改 时 区 ,而 要 更 改 本 地 系 
统 时 间 , 则 需要 完全 管理 员 访 问 令 牌 。 原 因 很 简单 ,如果 用 户 更 改 了 系统 时 间 ,那么 ,将 导致 
事件 日 志 中 的 事件 混乱 ,或 者 将 影响 计算 机 访问 Windows 域 时 的 验证 。 
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图 2-66 阻止 特定 的 发 布 者 图 2-67 “日 期 和 时 间 ” 对 话 框 


2.3.8 知识 链接 : 配置 系统 安全 


1. Windows Update 

Windows Update 的 主要 功能 是 获取 并 安装 系统 更 新 , 弥补 系统 漏洞 。Windows 
Server 2008 系统 中 ,管理 员 无 论 是 登录 Microsoft Update 网 站 ,还 是 运行 系统 中 的 
Windows Update 组 件 都 可 以 启动 Windows Update 向 导 。 默 认 情 况 下 , Windows Update 
是 未 配置 的 ,用 户 可 以 根据 需要 选择 适当 的 下 载 和 安装 模式 。 

2. Administrator 账户 安全 

系统 管理 员 账 户 是 Windows 系统 中 权限 最 高 的 用 户 账户 ,一 旦 被 入 侵 者 破解 或 丢失 ， 
后 果 将 不 堪 设 想 。 更 改 账户 名 称 和 创建 陷阱 账户 是 最 常用 最 有 效 的 方法 。 

安装 Windows Server 2008 系统 后 , 默认 会 自动 创建 一 个 系统 管理 员 账 户 , 即 
Administrator。 因 此 ,许多 黑客 攻击 服务 器 时 总 是 试图 破解 Administrator 账户 的 密码 , 达 
到 入 侵 的 目的 。 通 过 更 改 管理 员 账 户 名 称 来 避免 此 类 攻击 ,提高 系统 安全 性 。 

所 谓 陷阱 账户 就 是 名 称 与 默认 管理 员 账 户 名 称 (Administrator) 类 似 或 完全 相同 ,而 权 
限 却 极 低 的 用 户 账户 。 这 种 方法 通常 和 “更 改 Administrator 账户 名 称 ” 配 合 使 用 ,即将 系统 
管理 员 账 户 更 名 后 ,再 创建 一 个 名 称 为 Administrator 的 陷阱 账户 。 

3。Internet 防火 墙 

Windows Server 2008 的 ICF(Internet Connection Firewall,Internet 连接 防火 墙 ) 是 一 
种 典型 的 状态 防火 墙 ,不 仅 可 以 监视 通过 其 路 径 的 所 有 通信 ,并且 检 查 所 处 理 的 每 一 条 消息 
的 源 地 址 和 目的 地 址 ,工作 方式 如 图 2-68 所 示 。 

ICF 就 像 一 个 在 计算 机 和 外 部 Internet 之 间 建 立 的 
“盾牌 ”, 可 以 允许 请 求 的 数据 包 通 过 ,而 阻碍 那些 没有 请 
求 的 数据 包 , 因 此 它 是 一 个 动态 数据 包 过 滤器 。 它 可 以 对 
直接 连接 Internet 或 连接 在 运行 ICF 的 “Internet 连接 共 
享 主机 ”后 的 计算 机 提供 保护 。 启 用 后 ,ICF 会 禁止 所 有 
来 自 Internet 的 未 经 允许 的 连接 。 为 此 ,防火 墙 使 用 “网 2-68 ”Internet 防火 墙 


第 2 章 Windows 系 统 雪 全 


络 地址 转换 器 (NAT) ”逻辑 来 验证 访问 网 络 或 本 地 主机 的 人 站 请 求 。 如 果 网 络 通信 不 是 来 
自 受 保护 的 网 络 内 ,或 者 没有 创建 任何 端口 映射 ,入 站 数据 将 被 丢弃 。 

通常 情况 下 ,黑客 人 侵 的 第 一 步 就 是 找到 所 要 攻击 主机 的 IP 地 址 ,再 使 用 ping 命令 测 
试 到 该 主机 的 连通 性 ,然后 对 主机 进行 端口 扫描 ,查看 哪些 端口 是 开放 的 ,最 后 找 出 系统 漏 
洞 进行 攻击 。 如 果 攻 击 个 人 计算 机 ,通常 是 通过 扫描 一 段 IP 地 址 开始 来 锁定 目标 ,这 种 情 
况 下 ,ping 不 通 的 IP 地 址 通常 被 认为 没有 使 用 而 忽略 过 去 。 因 此 ,ICF 的 第 一 个 功能 就 是 
不 响应 ping 命令 ,而 且 ,ICF 还 禁止 外 部 程序 对 本 机 进行 端口 扫描 ,抛弃 所 有 没有 请 求 的 IP 
数据 包 。 如 此 一 来 ,可 以 被 黑客 利用 的 系统 漏洞 就 很 少 了 。 

ICF 是 通过 保存 一 个 表格 ,记录 所 有 自 本 机 发 出 的 目的 IP 地址、 端口 、 服 务 以 及 其 他 一 
些 数据 来 达到 保护 本 机 的 目的 。 当 一 个 卫 数据 包 进 入 本 机 时 ,ICF 会 检查 这 个 表格 ,看 到 
达 的 这 个 IP 数据 包 是 不 是 本 机 所 请 求 的 ,如 果 是 就 让 它 通 过 ,如 果 在 这 个 表格 中 没有 找到 
相应 的 记录 就 抛弃 这 个 IP 数据 包 。 

4. Windows 默认 共享 

默认 共享 是 为 了 方便 管理 员 远程 管理 而 默认 开启 的 共享 , 即 所 有 的 迎 辑 磁盘 (C$、 
D$ 、E$ 等 ) 和 系统 目录 Windows NT 或 WindowsCADMIN $ ) ,通过 IPC$ 连接 可 以 实现 
对 这 些 默 认 共享 的 访问 。 如 果 在 网 络 中 没有 使 用 默认 共享 的 必要 ,建议 用 户 将 系统 的 默认 
共享 关闭 ,从 而 进一步 地 保证 计算 机 的 安全 。 

5. Windows 系统 服务 

(1) 服务 账户 

系统 服务 只 有 在 特定 账户 登录 的 情况 下 才 会 运行 ,通常 情况 下 无 须 更 改 服务 的 默认 登 
录 账 户 。 如 果 选 定 账户 没有 登录 计算 机 服务 的 权限 ,Microsoft 管理 控制 台 (MMC) 的 服务 
管理 单元 将 自动 为 该 账户 授予 登录 服务 的 用 户 权限 ,但 并 不 一 定 会 启动 服务 。 服 务 的 登录 
账户 可 以 分 为 如 下 几 种 类 型 。 

@ 本 地 系统 账户 (LocalSystem) 。 使 用 该 账户 登录 的 服务 ,可 以 访问 整个 域 。 

@ 本 地 服务 账户 (NTAUTHORITYALocalService)。 它 是 一 种 特殊 的 内 置 账户 ,类 似 
于 经 过 身份 验证 的 用 户 账户 。 以 * 本 地 服务 账户 ?运行 的 服务 使 用 有 匿名 凭据 的 空 会 话 来 访 
问 网 络 资源 。 

@ 网 络 服务 账户 (NTAUTHORITY\NetworkService)。 与 本 地 服务 账户 类 似 ,但 是 
“网 络 服务 ?账户 运行 的 服务 可 使 用 计算 机 账户 的 凭据 来 访问 网 络 资源 。 

注意 : 如 果 更 改 默 认 服 务 设置 ,重要 的 服务 可 能 无 法 正常 运行 。 最 重要 的 是 ,更 改 启动 
类 型 一 定 要 谨慎 ,要 使 用 配置 了 自动 启动 服务 的 设置 来 登录 。 

(2) 漏洞 和 应 对 措施 

通常 情况 下 ,为 服务 设置 适当 的 启动 方式 ,是 避免 服务 漏洞 攻击 的 首选 方式 。Windows 
Server 2008 系统 服务 提供 如 下 4 种 启动 方式 。 

中 自动 。 此 服务 随 着 系统 启动 时 启动 。 

@ 手动 。 用 户 根据 需要 以 手动 方式 启动 或 禁用 服务 ,以 节省 系统 资源 。 

@ 已 禁用 。 此 类 服务 不 能 再 运行 。 

@ 自动 (延迟 的 启动 ) 。 延 缓 服务 的 启动 ,以 减 小 系统 载 人 时 的 负荷 。 

对 于 所 有 非 必要 的 服务 应 当 禁 用 。 除 此 之 外 ,还 可 通过 配置 用 户 定 义 账 户 列表 的 访问 
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控制 列表 (ACL) 来 编辑 服务 安全 性 。 

(3) 服务 权限 

每 个 服务 都 有 特定 的 权限 ,管理 员 可 以 将 这 些 权限 授予 每 一 个 用 户 或 组 ,也 可 以 从 用 户 
或 组 的 权限 中 取消 相应 的 服务 权限 。 服 务 具 有 的 权限 及 描述 如 表 2-1 所 示 。 


表 2-1 服务 权限 
权 限 描 述 
完全 控制 执行 所 有 功能 。 默 认 情 况 下 ,服务 会 自动 授予 登录 用 户 完全 控制 权限 
查询 模板 确定 与 某 个 服务 对 象 关联 的 配置 参数 
更 改 模板 更 改 服务 的 配置 ,如 更 改 启动 类 型 
状态 查询 有 关 服 务 状态 的 访问 信息 
列举 依存 关系 确定 依存 于 指定 服务 的 所 有 其 他 服务 
启动 启动 服务 
停止 停止 服务 
暂停 和 继续 暂停 或 继续 服务 
询问 报告 服务 的 当前 状态 信息 
用 户 定义 的 控制 将 用 户 定义 的 控制 请 求 或 特定 于 服务 的 请 求 发 送 给 该 服务 
删除 删除 服务 
读 取 权限 读 取 指 派 给 服务 的 安全 权限 
更 改 权限 更 改 指派 给 服务 的 安全 权限 
取得 所 有 权 更 改 安全 密 钥 ,或 更 改 关 于 不 为 用 户 所 有 的 服务 的 权限 
6. 用 户 账户 控制 


用 户 账 户 控制 (User Account Control, UAC ) 是 Microsoft 为 提高 系统 安全 而 在 
Windows Vista 中 引入 的 新 技术 , 它 允 许 用 户 验 证 系统 行为 ,从 而 阻止 未 经 认证 的 计算 机 系 
统 的 变动 。 当 用 户 以 管理 员 身 份 登录 到 Windows Vista 和 Windows Server 2008 时 ,会 得 
到 两 个 访问 令 牌 : 一 是 完全 访问 令 牌 ; 二 是 标准 受 限 访问 令 牌 。 

标准 受 限 访问 令 牌 对 受 限 进程 没有 管理 特权 ,并 且 禁 用 管理 员 组 安全 标识 符 (Security 
Identifier, SID) ,主要 用 于 启动 Windows 资源 管理 器 和 所 有 的 子 进程 。 所 有 应 用 程序 默认 
都 是 以 标准 受 限 访问 令 牌 运行 的 ,除非 管理 员 授 予 其 权限 ,否则 不 能 以 完全 访问 令 牌 运 行 。 
注意 ,由 于 应 用 程序 将 继承 父 进程 的 特权 级 别 , 因 此 ,如 果 父 进程 以 完全 访问 令 牌 运行 , 则 子 
进程 也 会 继承 其 特权 级 别 , 且 不 会 提示 管理 员 。 例 如 ,以 管理 员 身 份 运行 命令 提示 符 , 则 在 
命令 提示 符 下 运行 的 所 有 进程 都 将 具备 管理 员 特权 。 

提示 : Explorer. exe 默认 是 非 提 升 权限 的 ,所 以 , 当 右 击 选 择 “ 以 管理 员 身 份 运行 ?选项 
时 ,会 重新 启动 一 个 与 原 窗 口 同样 的 窗口 。 管 理 员 可 以 借助 相关 工具 ,在 每 个 文件 夹 的 右键 
快捷 菜单 中 添加 一 个 Elevate Explorer Here 命令 。 这 样 ,就 可 以 随时 随地 启动 一 个 提升 了 
权限 的 Windows Explorer 了 。Explorer. exe 进程 并 不 是 系统 运行 时 所 必需 的 ,所 以 ,可 以 
用 任务 管理 器 来 结束 它 , 并 不 影响 系统 的 正常 工作 。 
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2.4 ”系统 漏洞 扫描 


漏洞 扫描 是 网 络 安全 防御 中 的 一 项 重要 技术 ,其 原理 是 采用 模拟 攻击 的 形式 对 目标 可 
能 存在 的 安全 漏洞 进行 逐 项 检查 ,其 目标 是 工作 站 、 服 务 器 、 数 据 库 应 用 程序 等 。 根 据 扫 描 
结果 向 系统 管理 员 提供 周密 可 靠 的 安全 性 评估 分 析 报 告 ,从 而 为 提高 网 络 安全 整体 水 平 产 
生 重 要 依据 。MBSA 是 Microsoft 免费 推出 的 系统 漏洞 扫描 产品 ,支持 的 系统 平台 包括 
Windows NT/2000/XP/2003/2008 ,支持 类 型 涵盖 了 微软 公司 的 大 部 分 产品 。 


2.4.1 使 用 MBSA 扫描 本 地 系统 漏洞 


使 用 MBSA 扫描 本 地 系统 漏洞 的 具体 步骤 如 下 。 
(1) 依次 选择 “开始 ”>“ 所 有 程序 ”一 Microsoft Baseline Security Analyzer 2. 1 选项 ， 
打开 如 图 2-69 所 示 的 MBSA 主 窗口 。 
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图 2-69 MBSA 主 窗 口 


(2) 单 击 Scan a computer 链接 ,显示 如 图 2-70 所 示 的 Which computer do you want to 
scan 窗口 。 在 Computer name 文本 框 中 ,指定 要 扫描 的 计算 机 名 ,系统 默认 为 本 地 计算 机 。 
用 户 可 以 根据 需要 ,选择 此 次 扫描 的 目标 服务 或 应 用 程序 ,如 IIS、SQL、 密 码 安 全 性 等 ,这 里 
只 选择 前 两 项 扫描 功能 。 

提示 : 在 Security report name 文本 框 中 显示 的 是 系统 默认 的 扫描 结果 名 称 格式 ,其 中 
“%D% ”表示 域名 称 ，“%C%” 表 示 目 标 计算 机 名 称 ,“(%T%)” 表 示 扫 描 日 期 和 时 间 , 如 果 
是 基于 IP 地 址 的 扫描 任务 , 则 还 会 出 现 “%IP%”, 表 示 被 扫描 主机 的 IP 地 址 。 

(3) 根据 需要 选择 需要 检测 的 安全 内 容 。 然 后 单 击 窗口 下 方 的 Start Scan( 开 始 扫 描 ) 
按钮 ,系统 开始 进行 扫描 。 完 成 后 显示 如 图 2-71 所 示 的 扫描 结果 窗口 。 在 Potential Risk 
(潜在 风险 ) 选 项 区 域 显示 了 被 扫描 主机 的 基本 信息 ,包括 主机 名 、IP 地 址 和 扫描 日 期 等 ; 在 
Windows Scan Results(Windows 扫描 结果 ) 选 项 区 域 显示 了 扫描 结果 摘要 信息 。 管 理 员 通 
过 每 项 扫描 结果 前 不 同 的 图 标 , 即 可 判断 其 安全 状态 。 
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图 2-70 Which computer do you want to scan 窗口 


2-71 扫描 结果 


(4) 在 Issue( 问 题 ) 栏 中 列 出 了 被 扫描 计算 机 存在 的 主要 安全 问题 ,这 里 以 扫描 结果 中 
的 Password Expiration( 密 码 过 期 ) 问 题 为 例 。 单 击 What was scanned( 扫 描 对 象 ) 链 接 , 打 
开 如 图 2-72 所 示 的 Password Expiration 窗口 ,信息 中 提示 该 项 检查 将 列 出 目标 计算 机 系 
统 中 ,所 有 密码 过 期 或 不 符合 要 求 的 账户 。 

(5) 在 扫描 结果 窗口 中 , 单 击 Result details( 详 细 结果 ) 链 接 , 打 开 如 图 2-73 所 示 的 
Result Details 窗口 ,提示 目标 计算 机 的 Guest 账户 密码 已 经 过 期 。 

(6) 在 扫描 结果 窗口 中 , 单 击 How to correct this( 如 何 改 正 错误 ) 链 接 , 打开 如 
图 2-74 所 示 的 窗口 。 其 中 ,在 Solution( 解 答 ) 部 分 将 给 出 合理 的 解决 方法 ; 在 Instructions 
(操作 步骤 ) 部 分 根据 被 扫描 计算 机 系统 类 型 ,给 出 详细 的 操作 流程 。 


.9 G3 
第 2 章 Windaws 系 统 变 全 47 


J| 
人 二 [0 


图 2-72 ” Password Expiration 窗口 


ty nnlyrer 一 癌 页 对 话 林 


Baseline 


Some user accounts (1of 2) have non expiring passwords. 
Result Detals 
Accounts with 3 green check have passwords that do not expwre but were specfied 四 
MaExpweok bt 


Score User 
门生 


图 2-73 ”Result Details 窗口 


ay local accounts entiied n the securiy report as having passwords that do not exprre shouid be 
evewed to determne why the opon ts set, and ft should be removed. 


Accounts n the NoExpireOke vet fle (in the MBSA netallaton folder) wil nct be reported during the 
pasow ord cxpraton Check Users can add or remove accourt names in thes Ric to be stepped dunng the 


Instructions 
To clear the Password never expires setting in Microsoft® Windows® platforms 
1. Open the Control Panel 

oule-cick Admintstrative Tools, and then couble -dick Computer Management. 
Double cick the Local Users and Groups foider, and then cick the Users falder 
In the right pane, coubie-chck the account that you want to change. 

in the Properties deal box, dear the Password never expires check bar 


图 2-74 解决 方法 
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提示 : 对 于 Check passed( 通 过 检查 ) 的 扫描 结果 , 则 不 会 出 现 How to correct this 链接 。 
(7) 在 扫描 结果 窗口 中 , 单 击 OK 按钮 结束 此 次 扫描 。 


2.4.2 扫描 单 台 远程 计算 机 


使 用 MBSA 扫描 远程 主机 Windows 漏洞 , 比 扫描 本 地 计算 机 要 复杂 一 些 , 并 且 
Windows 域 环 境 和 工作 组 环境 中 的 操作 也 有 所 不 同 。 由 于 MBSA 的 工作 机 制 是 基于 用 户 
账户 的 ,所 以 扫描 远程 计算 机 时 ,必须 拥有 远程 计算 机 中 相关 权限 的 用 户 账户 。 在 
Windows 域 环境 中 ,使 用 域 管理 员 账 户 即 可 ,如 果 是 扫描 工作 组 中 的 远程 计算 机 , 则 开始 之 
前 必须 做 好 如 下 准备 工作 。 

(1) 在 运行 MBSA 的 计算 机 上 ,以 Administrator 账户 或 Administrators 组 中 的 成 员 
登录 系统 。 

(2) 在 目标 计算 机 上 同样 以 Administrator 账户 或 Administrators 组 中 的 成 员 登 录 系 
统 , 并 开启 Guest 账户 。 

(3) 将 Guest 账户 添加 到 Administrators 组 中 。 

(4) 修改 目标 计算 机 组 策略 ,使 Guest 账户 拥有 远程 访问 权限 。 

以 扫描 操作 系统 为 Windows XP 的 远程 计算 机 为 例 , 主 要 操作 步骤 如 下 。 

(1) 在 目标 计算 机 上 ,展开 “计算 机 管理 ”窗口 中 的 “本 地 用 户 和 组 ”一 “用户 ”选项 ,双击 
Guest 账户 打开 “Guest 属性 ?对 话 框 。 默 认 情 况 下 ,Guest 账户 是 被 禁用 的 ,取消 “账户 已 停 
用 " 复 选 框 即 可 ,如 图 2-75 所 示 。 

(2) 切换 至 “隶属 于 ”选项 卡 , 单 击 “ 添 加 ”按钮 打开 “选择 组 ”对 话 框 ,在 “输入 对 象 名 称 
来 选择 (示例 )” 文 本 框 中 输入 Administrators, 如 图 2-76 所 示 。 也 可 以 单 击 “ 高 级 ”按钮 在 所 
有 本 地 用 户 组 中 查找 。 最 后 单 击 “ 确 定 ” 按 钮 ,将 其 添加 到 Guest 账户 隶属 的 组 中 。 


TR = 上 回 


FETE TE 人 四 一 -Uy 
和 了 四 加 X 革 虽 四 二 一 一 一 一 一 一 一 一 .入 现 _， 子 尾 于 | 肝 委 文件 
加 Hi FL 于 
Sn EE i | 
1 玫 全 和 四 过 兰 对 象 天 型 G) 
bs |- tO 和 Ee [ET 
昌国 7 到 总 位 要 到) 
Pe ee [一 一 LE) 
输入 对 象 各 称 未 过 插 [三 写 ) G) 
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ET 了 7 确定 了 六 
CE WR CR 
图 2-75 启用 Guest 账户 图 2-76 将 Guest 账户 添加 至 Administrators 组 


提示 : 将 Guest 账户 添加 至 Administrators 组 中 的 操作 是 非常 危险 的 ,建议 远程 扫描 
完毕 后 立即 将 其 从 Administrators 组 中 删除 ,并 再 次 禁用 。 

(3) 打开 “组 策略 "窗口 ,并 依次 展开 “计算 机 配置 ">“Windows 设置 ”一 安全 设置 ”一 
“本 地 策略 ”用户 权利 指派 ?选项 ,如 图 2-77 所 示 。 主 要 设置 “从 网 络 访问 此 计算 机 ”和 
“拒绝 从 网 络 访问 这 台 计 算 机 ”策略 。 
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图 2-77 “组 策略 ”窗口 


(4) 双击 “从 网 络 访问 此 计算 机 ”, 打 开 “ 从 网 络 访 问 此 计算 机 属性 ”对 话 框 ,默认 状态 
下 Guest 账户 是 不 在 其 中 的 , 单 击 “ 添 加 用 户 或 组 "按钮 ,打开 “选择 用 户 或 组 ”对 话 框 ,在 “ 输 
人 对 象 名称 来 选择 (示例 ) "文本 框 中 输入 Guest, 如 图 2-78 所 示 。 

(5) 单 击 “ 确 定 ” 按 钮 ,将 其 添加 至 允许 远程 访问 的 用 户 和 组 列表 中 。 单 击 “ 应 用 ”或 “ 确 
定 ” 按 钮 ,显示 如 图 2-79 所 示 的 “确认 设置 更 改 ” 对 话 框 ,提示 此 设置 可 能 导致 的 系统 问题 ， 
单 击 “ 是 ”按钮 继续 即 可 。 
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图 2-78 允许 Guest 账户 从 网 络 访问 此 计算 机 图 2-79 “确认 设置 更 改 ” 对 话 框 


(6) 在 “组 策略 ”窗口 中 ,双击 “拒绝 从 网 络 访 问 这 台 计 算 机 ”, 打 开 “ 拒 绝 从 网 络 访问 这 
台 计 算 机 属性 ”对 话 框 ,显示 如 图 2-80 所 示 ,选择 Guest 账户 并 单 击 “ 删 除 ” 按 钮 ,将 其 从 拒 
绝 远程 访问 的 用 户 账户 列表 中 删除 即 可 。 最 后 , 单 击 “ 确 定 ” 按 钮 保存 设置 。 

(7) 在 执行 远程 扫描 任务 的 计算 机 上 打开 MBSA, 单 击 Scan a computer 链接 ,打开 
Which computer do you want to scan 窗口 。 在 Computer name 文本 框 中 按照 “工作 组 名 \ 
计算 机 名 ”的 格式 输入 被 扫描 计算 机 的 相关 信息 ,也 可 以 通过 IP 地 址 指定 ,如 图 2-81 所 示 。 

(8) 单 击 Start Scan 按钮 即 可 开始 扫描 ,扫描 结果 与 扫描 本 地 计算 机 类 似 ,如 图 2-82 所 
示 , 此 处 不 再 著述 。 
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2-82 ”远程 计算 机 扫描 结果 


提示 : 如 果 准 备 工作 不 充分 , 则 可 能 会 导致 无 法 扫描 到 远程 主机 ,常见 错误 提示 信息 包 
括 如 下 几 种 。 

(1) User is not an administrator on the scanned machine: 被 扫描 计算 机 上 开放 的 远程 
访问 用 户 不 是 系统 管理 员 ,或 没有 被 添加 到 管理 员 组 中 。 

(2) This is not a Windows NT/2000/XP/2003 Server or Workstation: 被 扫描 计算 机 
不 是 Windows NT 4. 0/2000/XP/2003 系统 ,因为 MBSA 不 支持 对 Windows 9x 系统 的 
Windows 系统 漏洞 扫描 。 

(3) The operating system returned error message 1385 登录 失败 : 未 授予 用 户 在 此 计 
算 机 上 的 请 求 登录 类 型 : 被 扫描 计算 机 上 开放 的 账户 未 被 赋予 远程 访问 权限 。 


2.4.3 知识 链接 : MBSA 


MBSA 全 称 Microsoft Baseline Security Analyzer, 此 工具 允许 用 户 扫 描 一 台 或 多 台 基 
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于 Windows 系统 的 计算 机 ,以 及 发 现 常见 安全 方面 的 配置 错误 ,并 检查 操作 系统 和 已 安装 
的 其 他 组 件 ,及 时 通过 推荐 的 安全 更 新 进行 修补 。MBSA 的 免费 下 载 地 址 为 : http:// 
www. microsoft. com/downloads/details. aspx? FamilyID= F32921AF-9DBE-4DCE-889E- 
ECF997EB18E9&displaylang 一 en。 

1. 扫描 模式 

MBSA 允许 扫描 一 台 或 者 多 台 计 算 机 。 

(1) 单 台 计 算 机 。MBSA 最 简单 的 运行 模式 是 扫描 单 台 计算 机 。 上 默认 情 况 下 ,将 扫描 
本 地 计算 机 ,管理 员 也 可 以 通过 指定 计算 机 名 或 IP 地 址 方式 ,使 其 扫描 其 他 计算 机 。 扫 描 
远程 计算 机 时 ,当前 用 户 账户 必须 拥有 目标 计算 机 的 远程 访问 权限 。 

(2) 多 台 计算 机 。 如 果 选 择 * 选 取 多 台 计算 机 进行 扫描 ”时 ,可 以 选择 通过 输入 域名 扫 
描 整 个 域 , 或 指定 一 个 IP 地 址 范围 并 扫描 该 范围 内 的 所 有 基于 Windows 系统 的 计算 机 。 

注意 : 扫描 远程 单 台 主机 或 其 他 网 段 的 计算 机 ,必须 使 用 具有 相关 权限 的 用 户 账户 。 
在 进行 “自动 扫描 ”时 ,用 来 运行 MBSA 的 账户 也 必须 是 管理 员 或 者 是 本 地 管理 员 组 的 
成 员 。 

2. 扫描 类 型 

MBSA 支持 两 种 类 型 的 扫描 模式 。 

(1) MBSA 典型 扫描 。MBSA 典型 扫描 将 执行 扫描 并 且 将 结果 保存 在 单独 的 XML 文 
件 中 ,这 样 就 可 以 在 MBSA 查看 器 中 进行 查看 。 可 以 通过 MBSA GUI 方 式 (mbsa. exe) 或 
MBSA 命令 行 方 式 (mbsacli. exe) 进行 MBSA 典型 扫描 ,扫描 内 容 包 括 所 有 可 用 的 
Windows IIS SQL 和 安全 更 新 检查 。 每 次 执行 MBSA 典型 扫描 时 ,都 会 为 每 一 台 接受 扫 
描 的 计算 机 生成 一 个 安全 报告 ,并 保存 在 正在 运行 MBSA 的 计算 机 中 。 

(2) HFNetChk 典型 扫描 。HFNetChk 典型 扫描 将 只 检查 缺少 的 安全 更 新 ,并 以 文本 
的 形式 将 扫描 结果 显示 在 命令 行 窗 口中 。 与 以 前 独立 版 本 的 HFNetChk 处 理 方法 完全 相 
同 。 这 种 类 型 的 扫描 可 以 通过 带 有 “/xmlout” 开 关 参 数 ( 指 示 MBSA 工具 引擎 进行 
HFNetChk 扫描 ) 的 mbsacli. exe 来 执行 。 

3. 网 络 扫 描 

MBSA 最 多 可 以 允许 从 服务 器 同时 对 10000 台 计 算 机 进行 远程 漏洞 扫描 。 在 防火 墙 
或 路 由 器 将 两 个 网 络 分 开 的 多 域 环境 中 (两 个 单独 的 Active Directory 域 ),TCP 的 139 端 
口 和 445 端口 以 及 UDP 的 137 端口 和 138 端口 必须 开放 ,以 便 MBSA 连接 和 验证 所 要 扫 
描 的 远程 网 络 主机 。 

4. 操作 系统 检查 

MBSA 对 被 扫描 的 计算 机 中 的 Windows 操作 系统 进行 扫描 , 表 2-2 所 示 列 出 了 扫描 过 
程 中 检测 的 项 目 。 

5. 安全 更 新 检查 

MBSA 对 在 被 扫描 的 计算 机 中 的 安全 更 新 列表 进行 扫描 ,并 检测 是 否 存在 由 于 安装 更 
新 补丁 产生 的 新 漏洞 。 该 项 检查 将 确保 具有 针对 下 列 产品 和 组 件 的 最 新 服务 包 和 安全 
更 新 。 
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表 2-2 MBSA 的 扫描 项 目 


检测 项 目 描 述 
Administrators “| 确定 并 列 出 属于 本 地 管理 员 组 的 用 户 账 户 。 如 果 检 测 出 的 单个 管理 员 账 户 数量 超过 
成 员 权限 两 个 , 则 该 工具 将 列 出 这 些 账户 名 ,并 将 该 检查 标记 为 一 个 潜在 的 安全 漏洞 
确定 在 被 扫描 的 计算 机 上 是 否 启用 了 系统 审核 功能 。Windows 系统 的 审核 特性 ,可 
审核 跟踪 和 记录 系统 上 的 特定 事件 ,如 成 功 的 和 失败 的 登录 尝试 。 通 过 监视 系统 的 事件 


日 志 , 可 以 发 现 潜在 的 安全 问题 和 恶意 活动 

确定 在 被 扫描 的 计算 机 上 是 否 启用 了 “自动 登录 ”功能 ,以 及 登录 密码 是 否 在 注册 表 
中 以 密 文 方式 存储 。 如 果 “ 自 动 登录 ”已 启用 而 且 密 码 以 加 密 形式 存储 在 注册 表 中 ， 
那么 安全 报表 就 会 将 这 种 情况 作为 一 个 潜在 的 安全 漏洞 标记 出 来 。 默 认 情 况 下 ， 
Windows Server 2008 禁止 “自动 登录 ” 

确定 是 否 在 被 扫描 的 计算 机 上 启用 自动 更 新 功能 ,以 及 详细 的 配置 情况 。 当 用 户 使 
自动 更 新 用 直接 下 载 更 新 方式 之 外 的 其 他 方式 时 ,扫描 结果 中 可 能 会 出 现 相关 安全 警告 信息 ， 
提示 自动 更 新 没有 正确 配置 ,此 时 不 必 理 会 

确定 正在 接受 扫描 的 计算 机 是 否 为 域 控制 器 ,这 主要 是 针对 Windows Server 2003 和 
域 控制 器 Windows Server 2008 系统 而 言 的 。 如 果 是 域 控 制 器 , 则 同时 检测 是 否 采取 了 相应 的 
操作 来 加 强 访问 安全 

确定 在 每 个 分 区 使 用 的 文件 系统 类 型 。NTFS 具有 访问 控制 功能 ,是 一 个 安全 的 文 
文件 系统 件 系统 ,因此 ,服务 器 所 有 分 区 均 使 用 该 文件 系统 ,如 果 使 用 FAT32 文件 系统 , 则 扫 
描 结果 中 将 报警 

确定 在 被 扫描 的 计算 机 上 是 否 启用 了 系统 内 置 的 Guest 账户 。 来 宾 账 户主 要 视 为 临 
Guest 账户 时 用 户 提供 的 ,默认 情况 下 是 禁用 的 。 如 果 在 Windows NT/2000/XP/2003/Vista/ 
2008 计算 机 上 已 启用 来 宾 账 户 , 则 此 时 将 在 安全 报表 中 作为 一 个 安全 漏洞 标记 出 来 
确定 是 否 在 被 扫描 的 计算 机 上 对 所 有 的 活动 网 络 连接 启用 Windows 防火 墙 ,这 主要 
是 针对 Windows XP/2003/2008 系统 而 言 的 。 如 果 已 经 启用 防火 墙 , 则 还 将 对 其 开放 


自动 登录 


Windows 防火 墙 | 的 人 站 端口 进行 检测 。 如 果 Windows 防火 墙 没有 开启 ,或 者 开放 了 存在 安全 漏洞 的 
端口 , 则 扫描 结果 中 将 出 现 警告 信息 

不 地 及 应 信友 | 确定 被 和 撒 计 算 机 的 本 地 用 户 联 户 密码 是 天 为 空 或 者 简单 密友 。 在 Windows Server 
2008 系统 中 ,必须 设置 符合 相应 复杂 程度 的 安全 密码 , 才 人 允许 启用 管理 员 账 户 

a 确定 是 否 有 本 地 用 户 账户 设置 了 永 不 过 期 的 密码 。 密 码 应 该 定期 更 改 ,以 降低 道 到 


密码 攻击 的 可 能 性 
限制 匿名 用 户 | 确定 被 扫描 的 计算 机 上 是 否 使 用 了 RestrictAnonymous 注册 表 项 来 限制 匿名 连接 
确定 在 被 扫描 的 计算 机 上 是 否 存在 共享 文件 夹 。 扫 描 报 告 将 列 出 在 计算 机 上 发 现 的 
共享 资源 所 有 共享 内 容 ,其 中 包括 管理 共享 及 其 共享 级 别 和 NTFS 级 别 的 权限 。 扫 描 结果 中 
将 列 出 所 有 的 系统 默认 共享 ,和 用 户 后 期 设置 的 重要 资源 共享 

确定 被 扫描 计算 机 上 的 services. txt 文件 的 服务 列表 中 ,是 否 包含 有 已 启用 的 非 必要 
检查 是 否 存在 不 | 服务 。services. txt 随 MBSA 的 安装 自动 生成 ,并 且 是 可 配置 的 ,默认 情况 下 包括 
必要 的 服务 MSFTPSVC(FTP) .TIntSvr( Telnet) .W3SVC(WWW) 和 SMTPSVC(SMTP)。 如 果 
被 扫描 计算 机 上 安装 了 列表 中 指定 的 服务 , 则 扫描 结果 中 将 出 现 警告 


(1) Windows NT 4.0( 除 非 通过 mbsacli. exe /xmlout 进行 扫描 ,否则 只 能 进行 远程 
扫描 )。 

(2) Windows 2000/XP/ Vista。 

(3) Windows Server 2003/2008 。 

(4) Internet Explorer 5.01 和 后 续 版 本 。 

(5) Windows Media Player 6.4 和 后 续 版 本 。 

(6) IIS 4.0 和 后 续 版 本 。 

(7) SQL Server 7.0/2000/2005( 包 括 Microsoft Data Engine) 。 
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(8) Exchange Server 5. 5/2000/2003/2007( 包 括 Exchange Admin Tools)。 
(9) Microsoft Office( 只 能 进行 本 地 扫描 ) 。 

(10) Microsoft Data Access Components(MDAC)2. 5/2. 6/2.7/2.8。 

(11) Microsoft Virtual Machine。 

(12) MSXML 2. 5/2. 6/3.0/4.0/5. 0/6.0。 

(13) BizTalk Server 2000/2002/2004/2006。 

(14) Commerce Server 2000/2002 。 

(15) Microsoft Content Management Server(MCMS)2001/2002。 

(16) SNA Server 4. 0 Host Integration Server(HIS)2000 和 2004 。 


2.5 端口 安全 


端口 ,是 服务 器 上 的 网 络 服务 得 以 对 外 提供 的 主要 通道 ,一 台 被 配置 IP 地 址 的 服务 器 ， 
可 以 提供 多 种 不 同 的 网 络 服务 ,这 主要 是 因为 每 个 网 络 服务 使 用 的 端口 是 不 同 的 。 每 个 IP 
地 址 可 提供 65536 个 端口 ,有 些 端口 是 默认 开放 的 ,有 些 则 是 关闭 的 ,而 开放 的 端口 随时 都 
有 可 能 成 为 非法 入 侵 者 的 跳板 ,因此 ,必须 充分 了 解 计 算 机 的 端口 开放 情况 。 

2.5.1 查看 端口 开放 情况 

查看 当前 有 哪些 计算 机 正在 与 本 机 连接 ,以 及 所 使 用 的 IP 地 址 及 端口 等 信息 ,如 果 想 
要 达到 这 个 目的 ,可 以 使 用 netstat 命令 行 的 方法 。 

单 击 “ 开 始 ” 按 钮 ,在 “开始 搜索 ”文本 框 中 ,输入 cmd 并 按 Enter 键 ,显示 命令 提示 符 窗 
口 。 在 命令 提示 符 下 输入 如 下 命令 : 


netstat -na 


按 Enter 键 执行 命令 ,显示 如 图 2-83 所 示 结 果 。 


LISTENING 
LISTENING 
LISTENING 


LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 


图 2-83 查看 当前 端口 连接 


命令 执行 结果 显示 本 机 连接 情况 及 打开 的 端口 。 其 中 包括 “协议 ”“ 本 地 地 址 ”“ 外 部 
地 址 ”和 “状态 ”信息 。“ 协 议 ” 表 示 通 信 协 议 的 类 型 (TCP 或 UDP)。“ 本 地 地 址 ”表示 本 地 
计算 机 的 PP 地址 和 正在 使 用 的 端口 号 。 如 果 不 指定 -n 参数 , 则 显示 与 卫 地 址 和 端口 的 名 
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称 对 应 的 本 地 计算 机 名 称 。 如 果 端 口 还 没有 建立 ,那么 端口 将 以 星 号 (* ) 显 示 。“ 外 部 地 
址 ?表示 连接 该 端口 的 远程 计算 机 的 IP 地 址 和 端口 号 。 如 果 不 指定 -n 参数 , 则 显示 与 卫 地 
址 和 端口 对 应 的 名 称 。 如 果 端 口 还 没有 建立 ,那么 端口 将 以 星 号 (* ) 显 示 。“ 状 态 ” 表 示 已 
建立 连接 的 状态 ,通常 包括 CLOSE_WAIT、CLOSED、ESTABLISHED、FIN_WAIT_1、 
FIN_WAIT_2、LAST_ACK\、LISTENING、SYN_RECEIVED、SYN_SEND 和 TIME_ 
WAIT 几 种 类 型 。 


2.5.2 查看 开放 端口 的 宿主 


所 谓 连 接 的 宿主 是 指 网 络 连接 对 应 的 应 用 程序 或 服务 。 通 常情 况 下 , 仅 赁 开放 端口 是 
很 难 确认 其 安全 与 否 的 ,发 现 可 疑 端口 之 后 ,首先 要 做 的 就 是 确认 使 用 这 些 已 经 打开 的 端口 
的 应 用 程序 是 哪个 ,然后 进一步 确认 该 程序 是 否 为 系统 程序 ,如 果 不 能 确认 , 则 可 能 是 木马 
或 其 他 非法 程序 。 

在 命令 提示 符 窗口 中 输入 如 下 命令 : 


netstat -bn 


按 Enter 键 执行 命令 ,显示 如 图 2-84 所 示 结 果 。 


【版 本 6.9.6884】 
Mieresoft Corperation。 保 留 所 有 权利 。 


ESTABLISHED 
EsTABLISHED 
ESTABLISHED 


282.188.12.187:88 cESTABLISHED 


图 2-84 显示 应 用 程序 打开 的 端口 


在 命令 执行 结果 中 ,显示 了 当前 活动 的 每 个 连接 都 是 由 哪些 程序 创建 的 ,本 例 中 端口 
49400 、49405 、49407 和 49414 都 是 由 iexplore. exe 程序 打开 的 , 均 被 用 于 访问 外 网 的 Web 
服务 器 。 如 果 在 结果 中 发 现 计算 机 打开 了 可 疑 的 端口 ,就 可 以 使 用 该 命令 查看 它 调用 了 哪 
些 组 件 ,然后 再 检查 各 组 件 的 创建 时 间 和 修改 时 间 , 如 果 发 现 异 常 , 就 可 能 是 中 了 木马 。 


2.5.3 知识 链接 : 端口 划分 与 netstat 命令 


1. 端口 划分 

IP 地 址 的 端口 都 是 以 端口 号 来 标记 的 ,端口 号 是 0 一 65535 的 一 个 任意 整数 。 按 照 端 
口号 划分 ,可 以 将 端口 分 为 3 大 类 , 即 公认 端口 .注册 端口 动态 或 私有 端口 。 

(1) 公认 端口 的 范围 为 0 一 1023。 这 些 端口 号 一 般 被 系统 固定 的 分 配给 一 些 服 务 。 

(2) 注册 端口 的 范围 为 1024 一 49511。 注 册 端 口 松散 绑 定 于 一 些 服 务 , 即 端口 号 一 般 都 
不 会 固定 地 分 配给 某 个 服务 ,许多 服务 都 可 以 使 用 这 些 端口 。 
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(3) 动态 或 私有 端口 的 范围 为 49512 一 65535。 通 常情 况 下 ,不 建议 为 服务 分 配 这 些 
端口 。 

端口 按 协 议 类 型 划分 ,可 以 分 为 TCP、UDP 等 端口 。 

(1) TCP 端口 是 由 TCP 协议 而 来 的 , 即 传输 控制 协议 端口 ,需要 在 客户 端 和 服务 器 之 
间 建 立 连接 ,这 样 可 以 提供 可 靠 的 数据 传输 。 

(2) UDP 端口 , 即 用 户 数据 包 协 议 端口 ,无 须 在 客户 端 和 服务 器 之 间 建 立 连接 ,安全 性 
得 不 到 保障 。 

2. netstat 命令 

netstat 主要 用 于 显示 活动 的 网 络 连接 .计算 机 侦 听 的 端口 ,以 太 网 统计 信息 、IP 路 由 
表 、IPv4 统计 信息 (对 于 IP、ICMP、TCP 和 UDP 协议) 以 及 IPv6 统计 信息 (对 于 IPv6、 
ICMPv6、 通 过 IPv6 的 TCP 以 及 通过 IPv6 的 UDP 协议 ) 等 。 如 果 不 使 用 任何 参数 , 则 显示 
系统 内 的 活动 的 TCP 连接 。 

netstat 命令 的 语法 格式 : 


netstat [-a] [-b] [-e] CD [Co [Co] Cp proto] [-r] CL-s] [CC [Linterval] 


netstat 参数 说 明 如 下 。 

(1) -a: 显示 所 有 活动 的 TCP 连接 以 及 计算 机 侦 听 的 TCP 和 UDP 端口 。 

(2) -b: 显示 包含 于 创建 每 个 连接 或 监听 端口 的 可 执行 组 件 。 在 某 些 情况 下 已 知 可 执 
行 组 件 拥有 多 个 独立 组 件 , 并 且 在 这 些 情 况 下 显示 包含 于 创建 连接 或 监听 端口 的 组 件 序列 。 
这 种 情况 下 ,可 执行 组 件 名 在 底部 的 [ ] 中 ,顶部 是 其 调用 的 组 件 。 注 意 此 选项 可 能 需要 很 
长 时 间 , 如 果 没 有 足够 权限 可 能 失败 。 

(3) -e: 显示 以 太 网 统计 信息 ,如 发 送 和 接收 的 字 节 数 、 数 据 包 数 。 该 参数 可 以 与 -s 结 
合 使 用 。 

(4) -{f: 显示 外 部 地 址 的 完全 限定 域名 (FQDN)。 

(5) -n: 显示 活动 的 TCP 连接 ,但 只 以 数字 形式 表现 地 址 和 端口 号 ,而 不 会 确定 其 
名 称 。 

(6) -o: 显示 活动 的 TCP 连接 并 包括 每 个 连接 的 进程 ID(PID)。 可 以 在 Windows 任 
务 管理 器 中 的 “进程 ”选项 卡 上 ,找到 基于 PID 的 应 用 程序 。 该 参数 可 以 与 -a、-n 和 -p 结合 
使 用 。 

(7) -p proto: 显示 Protocol 所 指定 的 协议 的 连接 。 在 这 种 情况 下 ,Protocol 可 以 是 
TCP、UDP、TCPv6 或 UDPv6。 如 果 该 参数 与 -s 一 起 使 用 , 按 协议 显示 统计 信息 , 则 
Protocol 可 以 是 TCP .UDP ICMP IPTCPv6 `.UDPv6 .ICMPv6 或 IPv6 。 

(8) -r: 显示 IP 路 由 表 的 内 容 。 该 参数 与 route print 命令 等 价 。 

(9) -s: 按 协议 显示 统计 信息 。 默 认 情况 下 ,显示 TCP、UDP、ICMP 和 IP 协议 的 统计 
信息 。 如 果 系 统 还 安装 了 Windows XP 的 IPv6 协议 ,就 会 显示 有 关 IPv6 上 的 TCP IPv6 
上 的 UDP、ICMPv6 和 IPv6 协议 的 统计 信息 。 可 以 使 用 -p 参数 指定 协议 集 。 

(10) -t: 显示 当前 连接 印 载 状态 。 

(11) interval: 每 隔 一 定时 间 重 新 显示 一 次 选 定 的 信息 ,单位 是 秒 。 按 Ctrl 十 C 键 停止 
并 重新 显示 统计 信息 。 如 果 省 略 该 参数 ,netstat 将 只 打印 一 次 选 定 的 信息 。 
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注意 : 与 该 命令 一 起 使 用 的 参数 必须 以 连 字符 (-) 作 为 前 缓 ,而 不 能 是 短 斜 线 (/) 作 为 


习题 


. 简 述 Windows Server 2008 系统 的 基本 安全 配置 。 
.如 何 为 Windows 系统 设置 安全 密码 ? 

. 什么 是 端口 ? 如 何 查看 本 地 计算 机 端口 开放 情况 ? 
.如 何 确保 系统 管理 员 账 户 的 安全 ? 


实验 : 扫描 本 地 系统 漏洞 


实验 目的 : 

掌握 MBSA 的 基本 应 用 。 

实验 内 容 : 

运用 MBSA 扫描 本 地 计算 机 存在 的 系统 漏洞 和 应 用 程序 漏洞 。 
实验 步骤 ， 

(1) 下 载 并 安装 MBSA。 

(2) 扫描 本 地 系统 漏洞 。 

(3) 查看 扫描 结果 , 找 出 系统 漏洞 对 应 的 解决 方案 。 

(4) 按照 MBSA 推荐 的 解决 方案 更 改 系统 配置 或 安装 补丁 更 新 。 
(5) 再 次 启动 MBSA 扫描 系统 ,检查 配置 是 否 生效 。 


入 Nr 


网 络 服务 安全 


网 络 应 用 服务 安全 是 网 络 安全 的 一 个 重要 方面 ,一 旦 出 现 安全 问题 轻 则 导致 用 户 无 法 
完成 正常 应 用 , 重 则 导致 重要 数据 丢失 ,后 果 非 常 严重 。 企 业 网 络 中 常用 的 服务 包括 活动 目 
录 服 务 .文件 服务 和 基于 IIS 的 Web 服务 和 FTP 服务 。 基 于 Windows Server 2008 系统 的 
应 用 服务 已 经 提供 多 项 安全 设置 ,用 户 只 需 根 据 需 要 合理 配置 即 可 。 


3.1 网 络 服务 安全 规划 


为 客户 端 提供 应 用 服务 是 计算 机 网 络 的 主要 功能 ,根据 企业 类 型 和 实际 需求 的 不 同 , 需 
要 部 署 的 网 络 服务 也 会 有 所 不 同 。 网 络 服务 安全 是 实现 网 络 安全 的 重要 环节 ,主要 是 解决 
网 络 服务 源头 的 安全 性 和 可 靠 性 。 


3.1.1 案例 情景 


该 中 型 企业 的 网 络 规模 并 不 大 ,运行 的 网 络 服务 主要 包括 活动 目录 服务 ,文件 服务 .IIS 
服务 等 。 活 动 目录 服务 主要 用 于 统一 管理 所 有 网 络 资源 ,为 所 有 客户 端 访问 提供 身份 验证 ， 
加 强 网 络 安全 性 。 文 件 服务 的 主要 功能 是 为 客户 端 提 供 文件 共享 和 存储 服务 ,客户 端 使 用 
域 用 户 账户 登录 到 域 即 可 访问 文件 服务 器 的 共享 资源 。 网 络 中 的 Web 服务 和 FTP 服务 都 
是 基于 IIS 服务 的 ,企业 网 站 和 内 部 办 公 网 站 均 由 Web 服务 器 承载 。 


3.1.2 项 目 需 求 


在 该 企业 的 网 络 中 ,网络 中 心 统一 管理 本 地 网 络 资源 以 及 所 有 远程 分 支 网 络 资源 。 分 
支 机 构 的 用 户 通过 VPN 远程 拨 叫 到 企业 网 络 ,访问 网 络 内 部 共享 资源 。 分 支 机 构 和 企业 
网 络 之 间 的 带宽 也 非常 有 限 ,对 于 分 支 机 构 的 用 户 而 言 , 需 要 花 更 多 的 时 间 登 录 , 访 问 网 络 
资源 的 速度 也 很 慢 。 如 果 在 分 支 机 构 网 络 中 部 署 单 独 的 域 控制 器 , 则 就 无 法 很 好 地 实现 统 
一 管理 。 为 了 便于 远程 用 户 进行 身份 验证 ,需要 在 分 支 结构 中 部 署 一 台 只 读 域 控制 器 ,远程 
用 户 访问 内 部 网 络 共享 资源 时 可 以 在 本 地 完成 身份 验证 ,提高 网 络 安全 性 。 另 外 ,为 了 减轻 
网 络 管理 员 负 担 ,需要 将 管理 权限 分 配给 不 同 的 用 户 账户 。 

文件 服务 是 面向 所 有 客户 端的 ,不 同 的 共享 资源 安全 需求 不 同 ,因此 需要 对 不 同 的 用 户 
账户 或 组 分 配 相应 的 访问 权限 。 对 于 网 络 中 重要 的 机 密 文 件 , 需 要 严格 限制 用 户 的 访问 权 
限 。 由 于 企业 内 部 的 某 些 Web 应 用 安全 性 要 求 较 高 ,因此 需要 对 HTTP 传输 进行 SSL 加 
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密 传 输 。 
3.1.3 解决 方案 


应 用 系统 的 安全 跟 具 体 应 用 有 关 , 涉 及 很 多 方面 ,应 该 是 动态 的 .不 断 变 化 的 。 本 章 主 
要 解决 网 络 中 运行 的 网 络 服务 的 安全 性 。 

1. 活动 目录 安全 

可 以 通过 如 下 措施 加 强 域 控 制 器 的 安全 性 。 

(1) 部 署 只 读 域 控制 器 。 在 企业 的 分 支 机 构 中 部 署 只 读 域 控制 器 ,一 方面 可 以 确保 域 
控制 器 数据 库 的 物理 安全 ; 另 一 方面 也 可 以 加 快 远程 用 户 的 登录 和 访问 速度 。 

(2) 重 定向 目录 数据 库 。 将 活动 目录 数据 库 重 定 向 到 系统 分 区 之 外 的 其 他 磁盘 分 区 或 
物理 磁盘 ,可 以 避免 系统 故障 对 目录 数据 库 的 危害 。 

(3) 权限 委派 。 将 重要 的 网 络 管理 员 操 作 权 限 分 配给 不 同 的 用 户 账户 , 既 可 以 减轻 管 
理 员工 作 负 担 , 又 可 以 提升 网 络 安全 性 。 

(4) 域 用 户 账户 安全 。 为 所 有 域 用 户 账户 设置 安全 密码 ,并 严格 限制 登录 时 间 和 登录 
计算 机 ,避免 用 户 随意 登录 带 来 的 危害 。 

(5) 灵活 运用 组 。Windows 域 中 的 组 , 则 可 以 帮助 管理 员 统一 设置 某 些 对 象 的 权限 , 简 
化 操作 的 复杂 性 ,降低 管理 难度 。 

2. 文件 服务 安全 

可 以 通过 如 下 措施 实现 文件 服务 的 安全 。 

(1) 配置 NTFS 访问 权限 。 除 了 为 文件 服务 器 上 的 共享 资源 配置 共享 访问 权限 之 外 ， 
还 必须 为 不 同 的 用 户 和 组 配置 NTFS 访问 权限 。 

(2) 配置 磁盘 配额 。 通 过 为 用 户 账 户 启 用 磁盘 配额 ,可 以 严格 限制 用 户 账 户 在 文件 服 
务 器 上 的 写 人 操作 ,避免 文件 服务 器 存储 空间 的 滥用 。 

(3) 文件 屏蔽 。 限 制 用 户 可 以 向 文件 服务 器 上 写 入 的 文件 类 型 。 

3. IIS 服务 安全 

IIS 7.0 提供 了 丰富 的 身份 验证 机 制 , 对 于 安全 性 要 求 较 高 的 Web 应 用 可 以 通过 配置 安全 
Web 站 点 ,实现 SSL 加 密 传输 ,充分 确保 客户 端 身份 的 真实 性 以 及 网 络 传输 的 安全 性 。 


3.2 活动 目录 安全 


活动 目录 服务 是 企业 网 络 的 重要 服务 ,可 以 帮助 管理 员 统 一 管理 网 络 资源 ,例如 可 以 根 
据 网 络 用 户 的 身份 进行 逻辑 划分 ,分别 赋 予 相应 的 访问 权限 ,其 目的 在 于 提供 有 效 、 灵 活 的 
信息 管理 。Windows Server 2008 系统 中 的 活动 目录 服务 变化 比较 大 ,管理 员 可 以 通过 
Active Directory 域 服务 控制 台 ,统一 管理 域 中 的 所 有 域 控 制 器 ,包括 登录 处 理 、. 身 份 验证 、 
目录 搜索 .重新 启动 等 。 只 读 域 控制 器 可 以 充分 确保 目录 数据 库 的 安全 性 和 可 靠 性 。 


3.2.1 只 读 域 控制 器 


只 读 域 控制 器 (RODC) 是 在 Windows Server 2008 系统 提供 的 新 型 域 控制 器 ,可 以 帮助 
用 户 在 物理 安全 得 不 到 保证 的 情况 下 ,部 署 域 控制 器 并 确保 其 安全 性 ,例如 该 企业 网 络 中 的 


. 四 sa 
第 3 章 ”网 络 服务 雪人 


分 公司 网 络 。RODC 包含 了 活动 目录 数据 库 的 只 读 部 分 ,可 以 帮助 用 户 确保 网 络 环境 安 
全 。 域 控制 器 是 分 支 机 构 中 最 薄弱 的 环节 。 使 用 RODC, 可 以 将 可 写 域 控制 器 移 到 合适 的 
数据 中 心 ,使 用 RODC 替代 分 支 机 构 中 的 可 写 域 控制 器 ,从 而 降低 安全 风险 。 

1. 查看 缓存 账户 

默认 情况 下 ,安装 RODC 过 程 中 ,已 经 为 部 分 用 户 账户 创建 了 密码 复制 策略 ,可 以 使 用 
如 下 方法 查看 RODC 默认 的 账户 缓存 机 制 。 

在 RODC 上 ,依次 选择 “开始 ”管理 工具 Active Directory 用 户 和 计算 机 ”选项 ， 
打开 *Aetive Directory 用 户 和 计算 机 "窗口 。 此 时 连接 到 的 域 控制 器 状态 为 * 只 读 "。 依 次 
选择 coolpen. net>Domain Controllers 选项 ,双击 RODC 显示 “RODC 属性 ”对 话 框 ,切换 
到 如 图 3-1 所 示 的 “密码 复制 策略 ”选项 卡 。 


ED 
rs 


Cwm |_en | wm 
图 3-1 “密码 复制 策略 ”选项 卡 


提示 : 单 击 “ 高 级 ”按钮 ,显示 如 图 3-2 所 示 的 “以 下 项 目的 高 级 密码 复制 策略 RODC” 
对 话 框 ,这 里 显示 的 是 密码 复制 策略 的 高 级 功能 ,用 户 可 以 根据 需要 选用 。 在 “策略 使 用 率 ” 
选项 卡 的 “显示 满足 下 列 条 件 的 用 户 和 计算 机 ” 
下 拉 列 表 框 中 ,包括 如 下 选项 。 In 

(1) 选择 “其 密码 已 存储 在 此 只 读 域 控制 四 全 人 ee 
器 中 的 账户 ”选项 ,除了 RODC 自身 的 计算 机 
账户 和 Kerberos 票据 授权 (KRBTGT) 账 户 之 
外 ,默认 情况 下 没有 缓存 任何 账户 的 密码 。 

(2) 选择 “已 通过 此 只 读 域 控制 器 身份 验证 
的 账户 ”选项 ,显示 在 RODC 进行 身份 验证 的 用 
户 以 及 计算 机 ,通过 此 列表 确定 允许 哪些 账户 的 
密码 ,在 此 RODC 域 控 制 器 中 进行 缓存 。 

2. 添加 缓存 账户 图 3-2 “以 下 项 目的 高 级 密码 复制 策略 

在 源 域 控制 器 上 ,可 以 设置 允许 在 RODC RODC” 对 话 框 


ww | [Lo ] 
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上 缓存 的 用 户 分 支 机 构 。 建 议 为 分 支 机 构 创建 单独 的 组 织 单位 ,在 该 组 织 单位 下 创建 组 ,组 
的 创建 规则 建议 符合 企业 的 行政 管理 架构 ,以 降低 管理 的 复杂 度 。 例 如 ,将 本 项 目 中 分 支 机 
构 的 所 有 用 户 和 组 规划 在 “分 支 机构 ” 组 织 单位 中 ,现在 需要 将 所 有 销售 员 用 户 账户 缓存 到 
RODC 中 ,销售 员 账户 隶属 于 xiaoshou 组 。 

(1) 在 源 域 控制 器 上 ,打开 “Active Directory 用 户 和 计算 机 ?窗口 ,依次 展开 coolpen. net 一 
Domain Controllers 选项 ,双击 RODC, 打 开 “RODC 属性 ”对 话 框 ,切换 至 如 图 3-3 所 示 的 
“密码 复制 策略 ”选项 卡 。 
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图 3-3 “密码 复制 策略 ”选项 卡 


(2) 单 击 “添加 ”按钮 ,显示 如 图 3-4 所 示 的 “添加 组 ,用户 和 计算 机 "对话 框 。 设 置 
RODC 域 控制 器 中 允许 或 者 拒绝 缓存 的 组 用户 和 计算 机 ,这 里 选中 * 人 允许 该 账户 的 密码 复 
制 到 此 RODC 中 ? 单 选 按钮 。 

(3) 单 击 “确定 ”按钮 ,显示 “选择 用 户 、 计 算 机 或 
组 ”对 话 框 ,在 “输入 对 象 名 称 来 选择 ”文本 框 中 ,输入 ee : 
想 要 添加 的 域 用 户 账户 。 单 击 “ 确 定 ” 按 钮 ,关闭 “选择 


用 户 、 计 算 机 或 组 ”对 话 框 ,返回 到 “RODC 属性 ”对 话 | 

框 ,所 选用 户 账户 已 被 添加 到 列表 中 ,如 图 3-5 所 示 。 。 。 。，。 
(4) 单 击 “ 应 用 ”按钮 ,设置 生效 。 图 3-4 toss 
3. 预 设 密码 


预 设 密码 是 将 用 户 或 计算 机 账户 的 密码 缓存 到 RODC 中 ,如 果 和 希望 在 没有 域 控制 器 可 
用 的 情况 下 ,用 户 依然 可 以 通过 RODC 登录 , 则 用 户 账户 的 密码 和 用 户 登录 的 计算 机 账户 
的 密码 都 必须 存储 在 RODC 上 。 缓 存 成 功 的 用 户 账户 或 计算 机 账户 ,在 域 控制 器 脱 机 的 情 
况 下 ,可 以 通过 RODC 直接 登录 进行 身份 验证 。 例 如 , 接 下 来 将 分 支 机 构 中 的 管理 员 用 户 
账户 和 密码 都 缓存 在 RODC 上 。 

(1) 在 源 域 控 制 器 上 ,打开 “Active Directory 用 户 和 计算 机 ”窗口 ,打开 “RODC 属性 ” 
对 话 框 , “密码 复制 策略 ”选项 卡 , 单 击 “ 高 级 ”按钮 ,显示 如 图 3-6 所 示 的 “以 下 项 目的 高 级 密 
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码 复制 策略 RODC” 对 话 框 ,默认 显示 “策略 使 用 率 ” 选 项 卡 ,此 时 的 “ 预 设 密码 ”功能 是 可 以 
编辑 的 。 


这 择 用 户 、 计 革 机 或 纪 EE 
和 地 类 型) 

TR 对 突 开 0) .| 
ELE | 
Er 
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图 3-5 ”允许 将 指定 组 的 账户 密码 图 3-6 “以 下 项 目的 高 级 密码 复制 
复制 到 RODC 中 策略 RODC” 对 话 框 


(2) 单 击 “ 预 设 密码 ”按钮 ,显示 如 图 3-7 所 示 的 “选择 用 户 或 计算 机 ”对 话 框 。 在 “输入 
对 象 名 称 来 选择 (示例 )" 文 本 框 中 ,输入 需要 预 设 密码 的 用 户 或 者 计算 机 账户 。 

注意 : 操作 之 前 ,必须 确保 被 预 设 密码 的 用 户 账户 的 密码 已 允许 复制 到 RODC 中 , 即 
添加 到 “密码 复制 策略 ”的 “组 、 用 户 和 计算 机 ”列表 中 ,否则 无 法 为 其 预 设 密码 。 

(3) 单 击 “ 确 定 ” 按 钮 ,显示 如 图 3-8 所 示 的 “ 预 填充 密码 ”对 话 框 。 单 击 “ 是 ”按钮 , 即 可 
成 功 完 成 指定 用 户 账户 的 预 设 密码 设置 。 
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图 3-7 “选择 用 户 或 计算 机 ”对 话 框 图 3-8 “ 预 填充 密码 ”对 话 框 


3.2.2 重启 ADDS 


在 Microsoft Windows 2000 Server 操作 系统 和 Windows Server 2003 操作 系统 的 
Active Directory 中 ,对 数据 库 进行 脱 机 碎片 整理 时 ,需要 在 目录 服务 还 原 模式 下 重新 启动 
域 控 制 器 。 此 外 ,应 用 安全 更 新 通常 也 需要 重新 启动 域 控制 器 。 但 是 在 Windows Server 
2008 中 ,管理 员 可 以 停止 并 重新 启动 ADDS, 这 样 便 能 够 更 快速 地 执行 脱 机 ADDS 操作 。 
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(1) 在 “服务 ?管理 窗口 ,双击 Active Directory Domain Services, 显示 如 图 3-9 所 示 的 
“Active Directory Domain Services 的 属性 (本 地 计算 机 )” 对 话 框 。 

(2) 单 击 * 停 止 ?按钮 ,显示 如 图 3-10 所 示 的 “停止 其 他 服务 ”对 话 框 ,在 列表 中 显示 了 
与 该 服务 相关 联 的 其 他 服务 。 
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当 从 此 处 启 到 服务 时 ， 你 可 指证 所 话 才 的 启动 部 数 。 
入 全 上 这 些 隧 间 ? 


” Co se | 


图 3-9 “Active Directory Domain Services 的 图 3-10 “停止 其 他 服务 ”对 话 框 
属性 (本 地 计算 机 )” 对 话 框 


(3) 单 击 “ 是 ”按钮 ,确认 停止 服务 即 可 。 
若 要 重新 启动 该 服务 ,在 “Active Directory Domain Services 的 属性 (本 地 计算 机 )” 对 
话 框 中 , 单 击 “启动 ”按钮 即 可 


3.2.3 SYSVOL 安全 


SYSVOL 是 域 中 每 台 域 控制 器 上 文件 系统 中 的 文件 夹 和 重 分 析 点 的 集合 。SYSVOL 
存储 重要 组 策略 对 象 (GPO) 策 略 和 脚本 。 文 件 复制 服务 (FRS) 将 这 些 策略 和 脚本 同步 到 域 
中 的 其 他 域 控制 器 中 。SYSVOL 目录 的 安全 性 直接 决定 域 控制 器 乃至 网 络 的 安全 。 

1. SYSVOL 重 定向 

Windows Server 2003 提供 两 种 方法 可 以 完成 SYSVOL 共享 文件 夹 的 重 定向 。 

(1) 使 用 Active Directory 向 导 移 动 SYSVOL。 首 先 ,需要 降级 域 控 制 器 ,然后 再 对 其 
升级 ,同时 使 用 新 的 目录 保存 SYSVOL 目录 即 可 。 不 推荐 使 用 这 种 方法 。 

(2) 手动 重 定向 SYSVOL 文件 夹 。 本 节 示 例 就 是 通过 这 种 方法 实现 的 。 

手动 重 定向 SYSVOL 的 步骤 如 下 。 

(1) 查看 SYSVOL 默认 位 置 , 在 命令 提示 
符 下 ,输入 如 下 命令 : 


net share 


按 Enter 键 ,命令 行 成 功 执行 ,执行 结果 如 
图 3-11 所 示 。SYSVOL 的 默认 位 置 为 : C:\ 
WINDOWSASYSVOLNsysvol。 

(2) 查看 当前 域 的 复制 伙伴 是 否 正常 。 在 
命令 提示 符 下 ,输入 如 下 命令 : 图 3-11 net share 执行 结果 


dcdiag /test: replications 


按 Enter 键 ,命令 行 成 功 执行 ,执行 结果 如 图 3-12 所 示 ,当前 的 复制 链接 ,通过 检查 。 


ia 
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上 上 运行 分 区 测试 


图 3-12 查看 当前 域 的 复制 伙伴 是 否 正 常 
(3) 查看 当前 域 的 NetLogon 服务 是 否 正常 。 在 命令 提示 符 下 ,输入 如 下 命令 : 


dcdiag /test:netlogons 


按 Enter 键 ,命令 行 成 功 执行 ,执行 结果 如 图 3-13 所 示 , 当 前 的 NetLogon 服务 正 
(4) 停止 FRS 文件 复制 服务 。 在 命令 提示 符 下 ,输入 如 下 命令 : 


net stop ntfrs 
按 Enter 键 ,命令 行 成 功 执行 ,执行 结果 如 图 3-14 所 示 
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图 3-13 ”查看 当前 域 的 NetLogon 服务 是 否 正常 图 3-14 停止 FRS 服务 


(5) 在 目标 位 置 建立 新 的 SYSVOL 存储 新 位 置 . 如 D:\new sysvol, 并 将 SYSVOL 文 


件 夹 中 的 内 容 复制 到 新 的 文件 夹 中 ,如 图 3-15 所 示 。 


(6) 修改 注册 表 , 更 改 系统 默认 的 SYSVOL 的 存储 位 置 。 打 开 注 册 表 编辑 器 ,展开 


HKEY _ LOCAL _ MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ 
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Parameters 键 值 , 右 击 SYSVOL 选项 ,在 弹出 的 快捷 菜单 中 选择 “修改 ”选项 ,显示 “编辑 字 


符 串 ”对话 框 。 在 “数值 数据 ”文本 框 中 ,输入 新 的 文件 夹 的 位 置 D:\new sysvol, 如 图 3-16 
所 示 。 最 后 , 单 击 “确定 ”按钮 ,保存 修改 的 数据 。 


EE 


文件 四 志 缠 ) 本 看 工具 于 助 0 


图 3-15 新 的 SYSVOL 目标 文件 夹 图 3-16 ”修改 注册 表 设置 


(7) 使 用 ADSI Edit 工具 修改 Active Directory 数据 库 中 的 SYSVOL 存储 位 置信 息 。 
单 击 “ 开 始 ”按钮 ,选择 “运行 "命令 ,在 “运行 ”对话 框 中 ,输入 adsi edit, 单 击 “ 确 定 ” 按 钮 , 打 
开 ADSI Edit 窗口 ,如 图 3-17 所 示 。 
文件 思 ) | 撞 作 人 0 二 看 W) 寺 助 0 
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图 3-17 ADSI Edit 窗口 


(8) 依次 展开 DC=coolpen,DC= net-OU 王 Domain Controllers 一 CN 王 AD1 一 CN 一 
NTFRS Subscriptions 选项 , 右 击 CN 王 Domain System Volume(SYSVOL share) 选 项 , 选 
择 快捷 菜单 中 的 “属性 ?选项 , 显示 如 图 3-18 所 示 的 “CN = Domain System Volume 
(SYSVOL share) 属 性 ?对 话 框 。 单 击 “ 筛 选 器 ?按钮 ,取消 * 可 选 ?选项 , 即 只 查看 “强制 ”和 
“ 仅 系统 ”属性 信息 。 

(9) 在 “属性 ?列表 中 ,选中 {RSRootPath 属性 , 单 击 “编辑 按钮 ,显示 如 图 3-19 所 示 的 
“字符 串 属性 编辑 器 对话 框 ,在 “ 值 "文本 框 中 ,输入 新 建 的 目标 文件 夹 的 位 置 d:\new 
sysvol 即 可 。 单 击 “ 确 定 ” 按 钮 保存 设置 即 可 。 按 照相 同 的 方法 ,将 fRSStagingPath 属性 的 
值 修改 为 d:\new sysvol 即 可 ,此 处 不 再 蓝 述 。 
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图 3-18 “CN==Domain System Volume(SYSVOL share) 属 性 ”对 话 框 
(10) 创建 FRS 文件 复制 服务 的 挂 接点 。 在 命令 提示 符 下 ,进入 FRS 服务 的 默认 位 置 
C:\WINDOWS\SYSVOL, 输 入 如 下 命令 : 


mklink /J coolpen. net d:\"new sysvol" 


按 Enter 键 ,命令 行 成 功 执行 ,执行 结果 如 图 3-20 所 示 。 


图 3-19 “字符 串 属性 编辑 器 ?对 话 杠 图 3-20 创建 FRS 文件 复制 服务 的 挂 接点 


(11) 设置 FRS 服务 为 不 可 信 。 域 控制 器 离线 后 ,NTFRS 服务 停止 工作 ,需要 将 域 控 
制 器 上 FRS 服务 设置 为 不 可 信 。 在 联机 时 需要 马上 从 其 他 的 域 控制 器 复制 SYSVOL 文件 
夹 中 的 内 容 , 同 步 完 成 后 域 控制 器 上 SYSVOL 即 可 正常 工作 。 打 开 注 册 表 编辑 器 。 展 开 
HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services\ NtFrs\Parameters\ 
Backup/Restore\Process at Startup 键 值 , 右 击 右 窗 格 中 的 BurFlags 选项 ,选择 快捷 菜单 中 
的 “修改 ”选项 ,显示 如 图 3-21 所 示 的 “编辑 DWORD(32 位 ) 值 ”对 话 框 ,在 “数值 数据 ”文本 
框 中 输入 D2, 单 击 “ 确 定 ” 按 钮 保存 。 

(12) 重新 启动 NTFRS 服务 。 在 命令 提示 符 下 ,输入 如 下 命令 : 


net start ntfrs 


按 Enter 键 ,命令 行 成 功 执行 ,执行 结果 如 图 3-22 所 示 。 
(13) 检查 共享 。 在 命令 提示 符 下 ,输入 如 下 命令 : 


net share 


. 
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图 3-21 “编辑 DWORD(32 位 ) 值 ”对 话 框 


按 Enter 键 ,命令 行 成 功 执行 ,执行 结果 如 图 3-23 所 示 。SYSVOL 共享 的 位 置 已 经 由 
C:\WINDOWS\SYSVOL\sysvol 重 定向 到 了 D:\new sysvol 目录 。 


图 3-22 ”启动 服务 图 3-23 ”执行 结果 


2. 更 改 SYSVOL 存储 空间 

SYSVOL 文件 夹 中 的 Staging Area 目录 存储 的 是 NTFRS 文件 服务 复制 服务 的 文件 
交换 区 域 , 需 要 复制 的 信息 首先 放 在 Staging Area 区 域 . 作 为 中 转 存 储 区 域 。SYSVOL 存 
储 空间 的 默认 大 小 为 10MB, 最 大 675MB。 如 果 Active Directory 中 部 署 了 文件 分 布 式 系统 
(DFS) , 则 DFS 使 用 Staging Area 目录 作为 交换 空间 , 当 DFS 存储 的 单个 文件 大 小 超过 
675MB 时 , 则 Staging Area 无 法 正常 使 用 ,导致 服务 失败 。 为 此 ,需要 更 改 SYSVOL 存储 
空间 的 上 限 值 。 

打开 “注册 表 编 辑 器 ”窗口 ,依次 展开 HKEY _LOCAL_MACHINE\ SYSTEMAN 
CurrentControlSet\ Services\ NtFrs\Parameters 键 值 , 右 击 Staging Space Limit in KB 选 
项 ,选择 快捷 菜单 中 的 “修改 ”选项 ,显示 如 图 3-24 所 示 的 “编辑 DWORD(32 位 ) 值 ?对 话 
框 。 在 “数值 数据 文本 框 中 ,输入 需要 设置 的 交换 区 域 的 大 小 即 可 ,例如 20000000 ,交换 区 
域 的 空间 值 按照 KB 计算。 

单 击 “ 确 定 ” 按 钮 , 即 可 完成 SYSVOL 交换 区 域 大 小 的 设置 。 


新 启动 域 控制 器 ,更 改 
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图 3-24 “编辑 DWORD(32 位 ) 值 ”对 话 框 


的 交换 区 域 生效 。 
3.2.4 管理 员 授 权 


为 了 确保 企业 网 络 的 安全 ,管理 员 可 以 将 管理 权限 指派 到 不 同 的 用 户 账户 ,避免 权限 过 
于 集中 。 对 于 普通 而 言 , 权 限 最 小 化 的 分 配方 案 也 是 非常 有 效 的 ,平时 仅 赋予 用 户 普通 登录 
和 访问 权限 即 可 ,如 有 特殊 需求 时 可 以 通知 管理 员 临 时 获得 授权 , 既 可 以 避免 权限 滥用 ,又 
可 以 确保 网 络 访问 的 安全 。 

1. 权限 委派 

在 Windows Server 2008 系统 的 Active Directory 用 户 和 计算 机 中 ,可 以 通过 高 级 功能 
模式 和 控制 委派 向 导 两 种 方式 委派 权限 。 例 如 ,将 向 “员工 ”组 织 单位 添加 用 户 账户 的 权限 ， 
委派 给 “网 络 管理 部 ”中 的 某 个 用 户 。 

(1) 打开 “Active Directory 用 户 和 计算 机 ”窗口 , 右 击 “阅览 室 ” 并 选择 快捷 菜单 中 的 
“委派 控制 ?选项 ,启动 “控制 委派 向 导 ”, 单 击 * 下 一 步 ?按钮 ,显示 * 用 户 或 组 "对 话 框 。 在 这 
里 需要 将 用 于 承担 委派 权限 的 用 户 账户 添加 到 “ 选 定 的 用 户 和 组 ”列表 中 。 单 击 “ 添 加 ” 按 
钮 ,显示 如 图 3-25 所 示 的 “选择 用 户 、 计 算 机 或 组 ”对 话 框 ,在 “输入 对 象 名 称 来 选择 (示例 )” 
文本 框 中 输入 用 户 的 名 称 tianjl, 然 后 单 击 “ 确 定 ” 按 钮 , 即 可 添加 该 用 户 。 


控制 委 生 向 号 | 


用 户 或 组 
过 定 一 个 可 个 你 加 和 大 近 证 户 或 起 。 


这 适用 户 、 计 生机 或 | 
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图 3-25 “选择 用 户 、 计 算 机 或 组 ”对 话 框 


@。。 
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(2) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 3-26 所 示 的 “要 委派 的 任务 ?对话 框 。 在 “委派 下 列 
常见 任务 ”列表 中 ,选中 “创建 .删除 和 管理 用 户 账户 ”和 “创建 .删除 和 管理 组 " 复 选 框 。 

提示 : 如 果 选 中 “创建 自 定义 任务 去 委派 ” 单 选 按钮 , 单 击 “ 下 一 步 ”按钮 , 则 将 显示 如 
图 3-27 所 示 的 “Active Directory 对 象 类 型 选择 ”对 话 框 ,这 里 对 目录 对 象 类 型 的 划分 更 加 
详细 ,管理 员 可 以 更 加 准确 地 定位 。 


ETEEHB 加 | 


要 委派 的 任务 3 
个 村 常 见 任务 或 自 定义 您 自 己 的 性 务 * 了 


要 洗 下 列 带 风 任务 加 ) 


口 重 否 用 户 密 碍 并 强制 在 下 次 痘 录 时 更 履 密 码 

口 尝 取 所 有 用 户 信息 

回 g 健 Wi 全 理 

口 th 查 所 员 身 从 

日 

口 生 扫 更 6 洁 困 集 (计划) 到 | 
证 X 和 天 去 要 关中) 


| 


图 3-26 “要 委派 的 任务 "对 话 框 图 3-27 “Active Directory 对 象 类 型 选择 "对 话 框 


(3) 单 击 “ 下 一 步 ” 按 钮 ,显示 “完成 控制 委派 向 导 ” 对 话 框 ,并 显示 了 前 面 所 设置 的 信 
息 。 单 击 “ 完 成 "按钮 , 即 可 完成 委派 任务 操作 。 

为 了 验证 委派 权限 是 否 生 效 ,可 以 在 网 络 
中 任意 工作 站 上 ,以 田 俊 乐 用 户 ( 对 应 用 户 账户 
为 tianjl) 登 录 到 域 ,并 通过 控制 台 , 远 程 连接 到 
域 控制 器 ,打开 “Active Directory 用 户 和 计算 
机 ”窗口 。 在 “员工 ”组 织 单位 上 右 击 ,会 发 现 快 
捷 菜 单 中 的 “新 建 ? 选 项 ,如 图 3-28 所 示 。 默 认 
情况 下 ,普通 用 户 账户 在 其 他 任何 组 织 单位 或 
容器 上 ,都 不 会 拥有 该 权限 , 即 快捷 菜单 中 不 会 
出 现 “ 新 建 ” 选 项 。 

注意 : 用 于 远程 连接 域 控制 器 管理 控制 台 
的 计算 机 ,必须 已 安装 Active Directory 服务 ,否则 无 法 添加 “Active Directory 用 户 和 计算 
机 ”管理 单元 。 

委派 的 权限 只 能 作用 于 目标 对 象 , 即 不 会 自动 传播 到 其 所 包含 的 子 对 象 上 。 在 本 例 中 ， 
tianjl 账户 只 能 在 “阅览 室 ? 组 织 单位 中 创建 子 对 象 , 如 OU 用户、 组 等 ,但 无 法 在 这 些 子 OU 
或 组 中 继续 创建 对 象 。 

2. 指派 组 管理 权限 

组 是 域 网 络 管理 中 必 不 可 少 的 ,通过 将 组 的 管理 权限 指派 给 某 个 用 户 账 户 , 可 以 大 大 减 
轻 管 理 员 的 工作 负担 。 需 要 注意 的 是 ,默认 情况 下 ,指定 组 管理 员 后 ,其 他 任何 用 户 甚至 管 
理 员 都 将 无 法 管理 该 组 。 

(1) 打开 “Active Directory 用 户 和 计算 机 ?控制 台 , 右 击 * 临 时 员工 ?组 并 选择 快捷 菜单 
中 的 “属性 ”选项 ,显示 “临时 员工 属性 ”对 话 框 ,切换 到 “管理 者 ”选项 卡 。 单 击 “ 更 改 ” 按 钮 ， 
显示 如 图 3-29 所 示 的 “选择 用 户 、 联 系 人 或 组 ”对 话 框 。 在 “输入 要 选择 的 对 象 名 称 (例如 )” 


图 3-28 用 户 行使 被 委派 的 权限 
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文本 框 中 ,输入 要 指派 的 管理 者 的 用 户 名 或 组 名 。 需 要 注意 的 是 ,这 里 只 能 选择 一 个 管理 


者 ,该 管理 者 可 以 不 属于 当前 组 。 


(2) 单 击 “确定 ”按钮 返回 "管理 者 选项 卡 ,在 “姓名 ”文本 框 中 ,显示 了 所 添加 的 管理 者 


用 户 名 称 , 如 图 3-30 所 示 。 如 果 要 清除 管理 者 用 户 账户 , 单 击 “ 清 除 ” 按 钮 即 可 。 


EE 
人 权 | 成员 | 中 必 于 利 理 厅 | 
站 名 9) 


= 
jE 
从 三 吕 ) 下 


EC x 


市 /县 上 | 。 亚 找 全) | 
Fe au 
辆 入 要 选择 和 各 多 名 种 0) EE) 
Es ES | 
电 活 屋 码 们 ) | 
rr | Cj_™w | 
| | 
图 3-29 “选择 用 户 、 联 系 人 或 组 ”对话 框 图 3-30 已 指定 管理 者 


提示 : 默认 情况 下 ,“ 管 理 员 可 以 更 新 成 员 列 表 ” 复 选 框 没有 被 选中 ,表示 只 有 被 指定 的 
管理 者 才能 管理 该 组 ,即使 是 域 管理 员 也 无 此 权限 。 如 果 选 中 该 复 选 框 , 则 允许 管理 员 账 户 


更 新 组 成 员 列 表 。 
(3) 单 击 “ 确 定 ” 按 钮 ,完成 组 的 管理 者 的 指派 。 


3.2.5 用 户 账户 管理 


域 管理 员 是 系统 默认 创建 的 ,在 应 用 过 程 中 ,管理 员 需 要 根据 用 户 需 要 为 其 创建 对 应 的 
用 户 账户 ,用 户 账户 的 权利 代表 了 用 户 对 网 络 资源 的 访问 和 操作 权限 。 为 防止 用 户 账户 被 


冒 用 , 当 用 户 离开 或 暂时 不 用 时 ,管理 员 需 要 将 其 对 应 用 户 账户 删除 或 停 用 。 
1. 设置 用 户 账户 密码 


普通 用 户 账户 忘记 登录 密码 是 时 有 发 生 的 事 , 此 时 可 以 通知 网 络 管理 员 或 者 被 委派 相 
关 权 限 的 用 户 账户 ,登录 到 域 控制 器 重新 修改 登录 密码 即 可 。 使 用 具有 相关 权限 的 管理 员 


账户 登录 到 域 控制 器 ,打开 “Active Directory 用 户 和 计算 
机 ”窗口 。 展 开 用 户 账 户 所 在 的 组 织 单位 , 右 击 想 要 重 置 密 
码 的 用 户 账户 ,选择 快捷 菜单 中 的 “ 重 置 密码 ?选项 ,显示 如 
图 3-31 所 示 的 “ 重 置 密码 "对话 框 ,在 “新 密码 ”和 ”确认 窗 
码 ” 文 本 框 中 输入 新 密码 , 单 击 “ 确 定 ” 按 钮 即 可 。 使 用 这 种 
方法 ,也 可 以 重 设 管理 员 账 户 的 密码 。 


提示 : 如 果 当 前 账户 已 被 锁定 , 则 可 以 选中 “解锁 用 户 图 3-31 “ 重 置 密码 ”对 话 框 


的 账户 ” 复 选 框 ,使 密码 更 改 立 即 生效 。 系 统 默 认 配 置 的 安 


全 策略 ,可 能 会 限制 用 户 更 改 密码 的 次 数 或 登录 次 数 , 如 果 超 出 策略 限制 , 则 立即 锁定 账户 ， 
并 等 待 一 定时 间 后 自动 解锁 。 此 时 ,对 应 用 户 可 以 告知 管理 员 , 由 管理 员 登 录 到 域 控制 器 ， 


使 用 "解锁 用 户 的 账户 ?方式 为 其 重 设 密码 并 解锁 账户 。 


70 “计算 机 网 络 变 全 


2. 禁用 或 删除 用 户 账 户 

以 具有 管理 员 权 限 的 账户 登录 控制 器 ,打开 “Active Directory 用 户 和 计算 机 ?窗口 , 右 
击 想 要 禁用 的 用 户 账户 ,选择 快捷 菜单 中 的 “禁用 账户 ?选项 即 可 将 其 禁用 ,如 图 3-32 
所 示 。 

用 户 账 户 被 禁用 以 后 , 便 不 能 再 登录 。 如 果 想 启用 用 户 账 户 , 则 可 以 按照 相同 的 方法 ， 
选择 快捷 菜单 中 的 “启用 账户 ”选项 即 可 。 如 果 账 户 不 再 使 用 ,或 需要 重 设 所 有 权限 ,可 将 其 
删除 , 右 击 用 户 账 户 名 ,并 选择 快捷 菜单 中 的 “删除 ?选项 即 可 删除 该 账户 。 

3. 限制 用 户 可 以 登录 的 时 间 

默认 情况 下 , 域 用 户 账 户 可 以 随时 登录 到 域 控制 器 ,但 是 为 了 确保 服务 器 系统 以 及 网 络 
的 安全 ,应 对 用 户 账户 的 登录 时 间 进 行 限 制 。 该 限制 仅 适用 于 域 用 户 账户 ,本 地 用 户 账户 登 
录 系 统 时 间 无 法 限制 。 

(1) 在 “Active Directory 用 户 和 计算 机 ”窗口 中 ,双击 要 设置 的 用 户 , 打 开 用 户 属性 对 
话 框 ,如 图 3-33 所 示 。 


| 
接 入 。 | 环 交 | 会 天 | 本 得 控制 | 络 有 和 卫 文件 | co 
营 失 | 地址 。 刺 户 | 本 要 安 御 | 电话 | 单位 | 巢 必 于 
[| 用 记录 名 
文件 史 。 报 作 以) 查看 0) 屠 助 00) 区 Se | PE en 可 
和 啤 | 访 | 四 | 考 口 | 甘 避 Gy 加 加 | 启 昌 本 时 台电 用 户 本 好 名 Winivrs 2000 以 关 呈 地 ) 1) 
[了 PR Pu Peo 


| 全 人 公司 所 有 页 
EE Er si amu | As | 


昌 


| 
JR 


图 3-32 禁用 域 用 户 账户 图 3-33 “ 王 延 杰 属性 ”对 话 框 


EE CD | 


(2) 单 击 “ 登 录 时 间 ” 按 钮 ,显示 如 图 3-34 所 示 的 “ 王 延 杰 的 登录 时 间 ” 对 话 框 ,默认 允 
许 在 任何 时 间 登 录 。 

(3) 在 登录 时 间 分 布 表 中 , 框 选 拒绝 登录 的 时 间 范 围 ,选中 “拒绝 登录 ” 单 选 按 钮 ,如 
图 3-35 所 示 。 例 如 ,本 例 中 设置 的 是 * 王 延 杰 ?” 用 户 , 在 每 周 星 期 一 到 星期 五 的 7 点 至 17 点 


范围 内 登录 域 。 
日 加 | 
2 2 3 CE 2 2 3 Ce 
ran ee 
| Wk | We 
| 后 录 0 | 0) 


和 


最 W 晶 至 旺 类 从 Do 点 oo 点 io 到 tm 点 


图 3-34 “ 王 延 杰 的 登录 时 间 ” 对 话 框 图 3-35 设置 登录 时 间 


. 
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(4) 单 击 “ 确 定 ” 按 钮 ,保存 设置 。 

4. 限制 用 户 可 以 登录 的 工作 站 

限制 用 户 可 以 登录 的 工作 站 ,是 指 限制 用 户 账户 只 能 从 网 络 中 指定 的 计算 机 上 登录 , 访 
问 Active Directory 中 的 资源 。 默 认 情 况 下 , 域 用 户 账户 可 以 从 网 络 中 任意 计算 机 上 登录 ， 
通过 将 用 户 账户 和 登录 计算 机 捆绑 在 一 起 ,可 以 实施 更 加 有 效 的 安全 管理 措施 。 

(1) 仍然 以 * 王 延 杰 ”用 户 为 例 , 在 * 王 延 杰 属性 ”对 话 框 的 “账户 ”选项 卡 中 , 单 击 “ 登 录 
到 ”按钮 ,显示 如 图 3-36 所 示 的 “登录 工作 站 ”对 话 框 。 默 认 选 中 “所 有 计算 机 ” 单 选 按钮 , 即 
允许 用 户 登 录 网 络 中 的 所 有 计算 机 。 

(2) 选中 “下 列 计算 机 ” 单 选 按钮 ,在 “计算 机 名 称 ” 文 本 框 中 输入 允许 登录 的 工作 站 的 
NetBIOS 名 称 , 单 击 “ 添 加 ”按钮 添加 到 列表 中 ,可 以 添加 多 个 允许 登录 的 工作 站 名 称 。 

(3) 单 击 “ 确 定 ”按钮 保存 设置 。 

5. 恢复 误 删 除 的 域 用 户 

在 Windows Server 2008 的 “Active Directory 用 户 和 计算 机 ”管理 控制 台中 ,没有 提供 
对 误 删 除 的 用 户 恢复 功能 。 管 理 员 可 以 借助 Adrestore. exe 工具 ,在 命令 行 模式 下 恢复 删 
除 的 用 户 ,该 工具 支持 Windows Server 2000/2003/2008 系统 中 的 活动 目录 ,下 载 地 址 为 
http://technet. microsoft. com/zh-cn/dd578429. aspx。 例 如 ,“ 王 延 杰 ” 用 户 ( 对 应 账户 为 
wangyj) 被 误 删 除 , 则 可 以 按照 如 下 方法 将 其 恢复 。 

(1) 将 Adrestore. exe 复制 到 运行 ADDS 域 服 务 的 计算 机 中 ,选择 “开始 ”一 “所 有 程 
序 ”>“ 附 件 ” 一 “命令 提示 符 ” 选 项 ,显示 如 图 3-37 所 示 的 命令 提示 符 窗 口 ,并 进入 存储 
Adrestore. exe 的 文件 夹 。 输 入 如 下 命令 : 


adrestore /r 


按 Enter 键 执行 ,显示 如 图 3-37 所 示 窗 口 ,该 命令 列举 活动 目录 中 被 删除 的 对 象 。 
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图 3-36 “登录 工作 站 ”对 话 框 图 3-37 列举 活动 目录 中 被 删除 的 对 象 


(2) 输入 y 并 按 Enter 键 执行 ,恢复 删除 的 用 户 信 息 ,提示 用 户 被 成 功 恢复 ,如 
图 3-38 所 示 。 同 样 的 方法 可 以 恢复 其 他 被 删除 的 Active Directory 对 象 。 

(3) 打开 “Active Directory 用 户 和 计算 机 ”窗口 ,选择 “Active Directory 用 户 和 计算 机 ”一 ~ 
coolpen. net-“ 员 工 ? 选 项 , 即 可 看 到 * 王 延 杰 ”用户 被 成 功 恢复 ,默认 情况 下 此 用 户 账 户 的 
状态 为 “禁用 ”, 如 图 3-39 所 示 。 
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图 3-38 成功 恢复 误 删 除 的 用 户 账户 图 3-39 被 删除 用 户 已 被 恢复 


(4) 恢复 的 账户 需要 重新 设置 密码 ,启用 该 账户 即 可 完整 恢复 被 删除 的 用 户 账户 。 
3.2.6 用 户 组 管理 


组 作用 域 直 接 决 定 组 中 账户 的 应 用 范围 ,而 组 类 型 则 决定 用 户 账户 可 以 行使 的 功能 。 
应 用 过 程 中 ,管理 员 可 以 根据 需要 ,更改 域 用 户 组 的 作用 域 和 类 型 。 需 要 注意 的 是 ,如 果 域 
功能 级 别 为 Windows 2000 混合 模式 , 则 无 法 完成 此 过 程 。Windows Server 2008 系统 的 默 


认 域 功能 级 别 为 Windows 2000 纯 模式 ,并且 已 经 删除 了 Ba 本 
混合 模式 ,所 以 可 以 直接 更 改 。 a 
一 ea 


打开 “Active Directory 用 户 和 计算 机 ?控制 台 , 双 击 = 
欲 更 改 的 用 户 组 (以 “临时 员工 ”组 为 例 ) ,显示 如 图 3-40 | os。 一 
所 示 的 “临时 员工 属性 "对话 框 ,在 “常规 ”选项 卡 的 “组 作 sa 


总 作 几 城 组 类 型 
用 域 " 和 “组 类 型 "选项 区 域 ,重新 选择 指定 的 选项 即 可 。 en a 


在 “Active Directory 用 户 和 计算 机 ”窗口 中 , 右 击 要 二 sm 


删除 的 组 并 选择 快捷 菜单 中 的 “删除 ?选项 , 即 可 删除 该 蝇 
组 。 需 要 注意 的 是 , 随 着 用 户 组 的 删除 ,通过 该 组 所 赋 CD 

了 成 员 账 户 的 权限 也 会 被 删除 ,但 组 内 的 成 员 不 会 被 a 
删除 。 图 3-40 “临时 员工 属性 ”对 话 框 


3.2.7 知识 链接 : 活动 目录 安全 


1. 只 读 域 控制 器 

(1) RODC 的 优点 

RODC 虽然 是 一 个 只 读 的 域 控制 器 ,但 本 质 上 还 是 域 控制 器 ,具备 域 控制 器 的 功能 和 
优点 ,同时 具有 以 下 特点 。 

@ 只 读 Active Directory 数据 库 。RODC 上 包含 所 有 域 对 象 和 属性 ,与 可 读 写 域 控制 
器 不 同 的 是 ,只 能 读 取 可 读 写 域 控制 器 中 的 数据 ,无 法 对 RODC 的 Active Directory 数据 库 
进行 更 改 。RODC 默认 情况 下 ,RODC 中 不 存储 账户 的 密码 。 在 不 能 保证 域 控制 器 安全 性 
的 情况 下 ,可 以 通过 RODC 保证 分 支 机 构 域 安全 性 。 

@ 单 向 复制 。 可 读 写 域 控 制 器 之 间 的 复制 是 双向 的 ,而 RODC 和 可 读 写 域 控制 器 之 
间 的 复制 是 单 向 的 ,RODC 通过 分 布 式 文件 系统 (DFS) 从 可 读 写 域 控制 器 复制 数据 。 
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@ 密码 缓存 。 默 认 情 况 下 ,RODC 上 只 存储 本 地 的 计算 机 账户 和 一 个 用 于 RODC 特 
殊 的 Kerberos 票据 授权 (KRBTGT) 账 户 , 此 账户 被 可 读 写 域 控 制 器 用 来 验证 RODC 身份 。 
在 可 读 写 域 控制 器 上 启用 密码 缓存 功能 . 即 可 在 RODC 上 缓存 所 有 域 用 户 账户 。 如 果 在 
RODC 上 启用 密码 缓存 ,只 会 影响 缓存 到 本 地 计算 机 和 用 户 账户 。 

@ 只 读 DNS。 在 RODC 上 可 以 安装 DNS 服务 ,RODC 可 以 复制 DNS 使 用 的 所 有 应 
用 程序 目录 分 区 中 的 数据 ,包括 ForestDNSZones 和 DomainDNSZones, 支 持 客户 端 请 求 
RODC 进行 名 称 解 析 。 在 RODC 上 的 DNS 不 支持 客户 端 直接 更 新 DNS 记录 ,因此 RODC 
不 会 在 其 拥有 的 活动 目录 集成 区 域内 注册 任何 NSCName Server) 记 录 。 

@ RODC 管理 。 在 可 读 写 的 域 控制 器 中 ,本 地 管理 员 和 域 管理 员 ,都 可 以 管理 域 控制 
器 。RODC 允许 一 个 普通 的 域 用 户 成 为 RODC 的 本 地 管理 员 ,设置 的 域 用 户 可 以 在 RODC 
所 在 的 区 域 执行 管理 任务 ,此 用 户 在 域 中 或 者 任何 可 读 写 的 域 控 制 器 上 没有 用 户 权 利 , 仅 管 
理 区 域 分 支 机构 的 权限 ,所 以 不 会 影响 Active Directory 整体 安全 性 。 

@ GC 支持 。RODC 可 以 做 GC 服务 器 ,但 是 RODC 不 能 安装 操作 主 控 角色 。 

(2) RODC 部 署 要 求 

如 果 需 要 部 署 RODC ,在 网 络 中 必须 有 一 台 安 装 或 者 升级 到 的 Windows Server 2008 
的 域 控制 器 。 部 署 之 前 ,管理 员 应 注意 以 下 事项 。 

@ Active Directory 数据 库 复制 。RODC 支持 从 Windows Sever 2003 域 控制 器 复制 架 
构 分 区 和 配置 分 区 的 数据 ,但 是 RODC 只 能 从 来 自 同 一 域 的 Windows Server 2008 的 可 读 
写 域 控制 器 复制 域 分 区 的 数据 更 新 。 因 此 ,在 网 络 中 至 少 安装 一 台 Windows Server 2008 
的 域 控制 器 用 于 RODC 复制 。 

@ 林 功 能 级 别 。 部 署 RODC 需要 森林 的 功能 级 别 最 低 为 Windows Server 2003 模式 ， 
建议 使 用 Windows Server 2008 模式 。 用 户 可 以 通过 在 “Active Directory 域 和 信任 关系 ” 窗 
口中 ,提升 到 所 需 的 林 功 能 级 别 。 

@ Windows Server 2008 域 控制 器 的 角色 为 主 域 控制 器 ,否则 将 无 法 识别 RODC 使 用 
的 特殊 的 Kerberos 票据 授权 票 (KRBTGT) 账 户 。 

@ RODC 默认 不 缓存 账户 ,必须 在 可 读 写 域 控制 器 上 启用 账户 缓存 功能 后 , 才 可 以 用 
于 缓存 域 用 户 账户 。 

@ RODC 安装 完成 后 ,默认 连接 的 是 当前 所 有 的 可 读 写 域 控制 器 ,必须 在 RODC 上 ， 
通过 “更 改 域 控制 器 "使 其 连接 到 已 部 署 的 RODC 上 。 

2. 基于 服务 的 AD DS 

默认 情况 下 ,可 重新 启动 的 AD DS 在 运行 Windows Server 2008 的 所 有 域 控制 器 上 都 
是 可 用 的 。 使 用 此 功能 不 存在 任何 功能 级 别 的 要 求 或 任何 其 他 先决 条 件 ,与 其 他 服务 一 样 ， 
可 以 使 用 MMC 控制 台 管理 单元 或 命令 行 来 停止 和 重新 启动 AD DS。 需 要 注意 的 是 ,如 果 
停止 AD DS, 则 DNS KDC 以 及 站 间 消 息 传递 服务 也 会 停止 。 

停止 AD DS 与 在 目录 服务 恢复 模式 中 登录 AD DS 相似 ,但 是 可 重新 启动 的 AD DS 为 
运行 Windows Server 2008 的 域 控制 器 提供 了 一 种 新 的 状态 : AD DS 停止 。 在 此 状态 下 ， 
域 控制 器 与 目录 服务 恢复 模式 和 域 成 员 服务 器 的 特性 类 似 。 在 目录 服务 还 原 模式 时 ,位 于 
本 地 域 控制 器 上 的 活动 目录 数据 库 (Ntds. dit) 处 于 脱 机 状态 。 如 果 其 他 域 控制 器 可 用 ,本 
地 域 控 制 器 可 以 使 用 其 进行 登录 。 如 果 无 法 联系 到 其 他 域 控制 器 ,可 以 使 用 “目录 服务 还 原 
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模式 密码 ”登录 。 作 为 成 员 服 务 器 ,该 服务 器 被 加 入 域 ,组 策略 或 者 其 他 设置 仍 被 应 用 到 计 
算 机 ,但 其 无 法 为 登录 请 求 服务 或 者 与 其 他 域 控制 器 进行 复制 操作 。 

3. 目录 数据 库 

域 控制 器 的 任务 除了 存储 Active Directory 数据 库 , 还 负责 存储 和 发 布 与 组 策略 有 关联 
的 文件 。Active Directory 域 控 制 器 必须 支持 下 级 客户 端 ,提供 一 个 存储 空间 来 获取 
Config. pol 及 Ntconfig. pol 中 包含 的 本 地 策略 和 系统 策略 。 在 Active Directory 域 控制 器 
中 ,存储 空间 的 位 置 就 是 SYSVOL 的 共享 文件 夹 , 这 个 文件 夹 的 位 置 在 使 用 Dcpromo 提升 
域 控 制 器 期 间 自动 创建 。 

SYSVOL 必须 存储 在 NTFS 卷 中 ,因为 SYSVOL 中 的 文件 夹 要 使 用 重 分 析 点 ,而 只 有 
NTFS 格式 才 支 持 重 分 析 点 。 

SYSVOL 包含 一 个 名 为 Domain 的 文件 夹 , 其 中 容纳 了 组 策略 文件 和 脚本 。 组 策略 
文件 存储 在 一 个 名 为 Policies 的 子 文件 夹 中 ,而 脚本 存储 在 Scripts 子 文件 夹 中 ,Scripts 文 
件 夹 作 为 NetLogon 来 共享 ,以 支持 下 级 客户 端 。 在 SYSVOL 文件 夹 创建 一 个 文件 ,在 
Domain 文件 夹 下 会 立即 生成 一 个 新 创建 的 文件 的 副本 。 

客户 端 访问 SYSVOL ,必须 运行 Dfsclient 服务 。 域 控制 器 之 间 SYSVOL 的 内 容 自 动 
同步 ,文件 复制 服务 (FRS) 就 是 负责 对 不 同 DC 之 间 的 内 容 进行 同步 。 

SYSVOL 在 服务 器 上 存储 网 络 中 使 用 的 特殊 资源 ,删除 该 共享 资源 会 导致 域 控制 器 所 
服务 的 所 有 客户 端 计算 机 管理 功能 丢失 。 

如 果 Active Directory 数据 库 和 SYSVOL 都 安装 在 同一 个 磁盘 上 ,由 于 Active 
Directory 数据 库 系统 频繁 地 响应 访问 请 求 , 势 必 会 降低 系统 性 能 。 因 此 ,建议 将 SYSVOL 
重 定位 到 其 他 逻辑 驱动 器 或 物理 驱动 器 中 ,以 便 提 升 系统 性 能 或 者 为 SYSVOL 或 FRS 暂 
存 文 件 夹 获取 更 多 的 可 用 磁盘 空间 。 

在 规划 Active Directory 时 ,没有 仔细 规划 SYSVOL 所 在 驱动 器 的 存储 空间 ,在 网 络 中 
应 用 时 发 现 SYSVOL 需要 的 空间 不 足 , 可 以 将 SYSVOL 重新 定向 到 新 的 网 络 驱动 器 中 。 

FRS 监视 SYSVOL, 如 果 对 存储 在 SYSVOL 上 的 任何 文件 进行 更 改 , 那 么 ,FRS 会 自 
动 将 更 改 的 文件 复制 到 此 域 中 其 他 域 控制 器 的 SYSVOL 文件 夹 中 。 

SYSVOL 每 天 的 工作 是 自动 进行 的 ,除了 注意 来 自 监视 系统 的 警报 外 ,不 需要 任何 人 
为 干涉 。 在 更 改 网 络 时 ,可 执行 一 些 系 统 维护 操作 。 

4. 权限 委派 

委派 是 Active Directory 最 重要 的 安全 功能 之 一 ,用 于 将 某 一 功能 的 处 理 和 管理 的 责 
任 , 分 配给 另 一 个 用 户 、 组 或 组 织 单位 的 权利 。 通 过 委派 管理 ,可 以 为 适当 的 用 户 和 组 指派 
一 定 范围 的 管理 任务 , 既 可 以 减少 需要 具有 较 高 管理 权限 的 管理 员 用 户 账户 数量 ,还 可 以 为 
普通 用 户 和 组 指派 基本 管理 任务 ,而 让 Domain Admins 和 Enterprise Admins 组 的 成 员 执 
行 域 范 围 和 林 范 围 的 管理 。 

通过 在 域 中 创建 组 织 单 位 ,并 将 特定 组 织 单位 的 管理 控制 权 委派 给 特定 用 户 或 组 ,可 将 
管理 控制 权 委 派 给 域 树 的 任何 层次 。 通 常情 况 下 ,可 以 向 如 下 Active Directory 容器 委派 管 
理 权限 : 组 织 单位 、 域 .站 点 。 

5. 域 用 户 组 

组 是 系统 管理 和 网 络 管理 中 的 常用 功能 之 一 。 本 地 计算 机 中 的 组 通常 只 用 于 管理 本 地 
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计算 机 上 的 用 户 账户 或 组 ,不 支持 任何 安全 设置 。 域 用 户 组 根据 其 类 型 和 作用 域 的 不 同 , 用 
途 和 作用 范围 也 有 所 不 同 。 

(1) 组 类 型 

创建 域 组 时 ,在 “组 类 型 ”选项 区 域 中 可 选择 组 的 类 型 。 

J@ 安全 组 。 可 以 显示 在 随机 访问 控制 列表 (DACL) 中 的 组 ,该 列表 用 于 定义 对 资源 和 
对 象 的 权限 。“ 安 全 组 ”也 可 用 作 电 子 邮 件 实体 ,给 这 种 组 发 送 电 子 邮 件 的 同时 也 会 将 该 邮 
件 发 给 组 中 的 所 有 成 员 。 

@ 通讯 组 。 仅 用 于 分 发 电子 邮件 并 且 没 有 启用 安全 性 的 组 。 不 能 将 “通讯 组 ”显示 在 
用 于 定义 资源 和 对 象 权 限 的 随机 访问 控制 列表 (DACL) 中 .“ 通 讯 组 ”只 能 与 电子 邮件 应 用 
程序 (例如 ,Microsoft Exchange) 一 起 使 用 ,以 便 将 电子 邮件 发 送 到 用 户 集合 。 如 果 因 为 安 
全 目的 并 不 需要 组 ,可 以 选择 创建 “通讯 组 ”而 不 要 创建 “安全 组 ”。 

(2) 组 作用 域 

Windows 域 中 的 组 作用 域 包括 3 种 : 本 地 域 . 全 局 和 通用 。 

本 地 域 组 主要 用 于 指定 其 所 属 域内 的 访问 权限 ,以 便 访问 该 域内 的 资源 。 对 于 只 拥有 
一 个 域 的 企业 而 言 ,建议 选择 “本 地 域 组 ”。 本 地 域 组 内 的 成 员 可 以 是 任何 一 个 域内 的 用 户 、 
通用 组 与 全 局 组 ,也 可 以 是 同一 个 域内 的 域 本 地 组 ,但 不 能 是 其 他 域内 的 域 本 地 组 。 

全 局 组 主要 用 于 组 织 用 户 , 即 可 以 将 多 个 被 赋予 相同 权限 的 用 户 账户 加 入 到 同一 个 全 
局 组 内 。 全 局 组 内 的 成 员 , 只 能 包含 所 属 域内 的 用 户 与 全 局 组 。 全 局 组 可 以 访问 任何 一 个 
域内 的 资源 。 

通用 组 可 以 设置 在 所 有 域内 的 访问 权限 ,以 便 访 问 所 有 域 资源 。 通 用 组 成 员 可 以 包括 
整个 域 林 (多 个 域 ) 中 任何 一 个 域内 的 用 户 , 但 是 ,无 法 包含 任何 一 个 域内 的 域 本 地 组 。 通 用 
组 可 以 访问 任何 一 个 域内 的 资源 。 


3.3 文件 服务 安全 


文件 服务 主要 用 于 提供 用 户 所 需 的 文件 资源 ,对 于 企业 网 络 而 言 ,文件 服务 器 的 安全 将 
直接 影响 业务 处 理 等 办 公 活 动 的 开展 。 通 常情 况 下 ,企业 内 部 用 户 权限 过 大 、 登 录 控制 机 制 
政 松 ,都 可 能 导致 内 部 机 密 文 件 被 窃取 。 在 Windows Server 2008 文件 服务 器 上 ,可 以 通过 
文件 访问 权限 、 磁 盘 配 额 文件 屏蔽 等 措施 ,确保 文件 服务 器 及 重要 文件 的 安全 。 


3.3.1 NTFS 权限 安全 配置 


NTFS 是 目前 最 安全 的 文件 系统 ,也 是 服务 器 的 首选 文件 系统 。Windows Server 2008 
要 求 系统 分 区 文件 系统 必须 为 NTFS, 并 且 由 于 NTFS 文件 系统 能 够 很 好 地 支持 大 文件 存 
储 和 大 容量 分 区 ,更 适合 文件 服务 器 的 需求 。NTFS 文件 系统 提供 了 非常 严格 的 访问 权限 
设置 ,管理 员 可 以 为 不 同类 型 的 用 户 赋予 不 同 的 访问 权限 ,避免 由 于 用 户 权 限 过 大 ,而 威胁 
到 文件 服务 器 的 安全 。 

1. 设置 NTFS 文件 夹 和 文件 权限 

(1) 以 管理 员 账 户 登 录 系 统 , 打 开 Windows 资源 管理 器 , 右 击 欲 设置 NTFS 权限 的 文 
件 夹 ( 本 例 以 test 文件 夹 为 例 ) ,并 选择 快捷 菜单 中 的 “属性 ”选项 ,打开 “test 属性 ”对 话 框 ， 
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单 击 “ 安 全 "标签 切换 至 如 图 3-41 所 示 的 “安全 "选项 卡 。 

(2) 在 “组 或 用 户 名 ”列表 框 中 选择 想 要 配置 权限 的 用 户 账户 ,如 hstjl, 在 下 面 的 权限 列 
表 框 中 即 可 查看 其 当前 权限 。 单 击 “ 编 辑 ” 按 钮 ,显示 如 图 3-42 所 示 的 对 话 框 。 继 续 在 “组 
或 用 户 名 ”列表 框 中 选择 hstjl, 即 可 在 下 面 的 “hstjl 的 权限 ”列表 中 修改 其 权限 。 默 认 情 况 
下 ,是 没有 对 普通 用 户 设置 任何 NTFS 访问 权限 的 ,用 户 账户 将 自动 继承 来 自 其 所 属 组 的 
权限 ,文件 夹 将 自动 继承 来 自 其 父 文件 夹 的 NTFS 权限 。 


案 规 | 共享 安全 | 以 M89 疡 村 | 自 完 义 | 


图 3-41 “test 属性 ”对 话 框 图 3-42 更 改 用 户 权限 


提示 : 如 果 权限 带 阴影 显示 ,说 明 这 些 权 限 是 从 父 文件 夹 的 权限 继承 过 来 的 。 

(3) 如 果 “* 组 或 用 户 名 "列表 框 中 默认 没有 需要 的 用 户 账户 , 则 可 以 单 击 * 添 加 "按钮 , 显 
示 如 图 3-43 所 示 的 “选择 用 户 或 组 "对 话 框 ,在 "输入 
对 象 名 称 来 选择 (示例 )" 文 本 框 中 ,输入 想 要 添加 的 | Mss 
用 户 账 户 名 并 单 击 * 确 定 "按钮 即 可 。 在 域 控制 器 上 。 至 


Fr 吴 员 

还 可 以 直接 添加 其 他 被 信任 域 中 的 用 户 账户 。 aera es ee 
(4) 在 “更 改 用 户 权限 ”对话 框 的 “组 或 用 户 名 改过 | 
称 "列表 框 中 ,选择 想 要 删除 的 用 户 或 组 ,并 单 击 * 删 es CE 


除 ” 按 钮 , 即 可 将 其 从 列表 中 删除 。 如 果 此 时 该 账户 3-43 “选择 用 户 或 组 对话 框 
所 属 组 未 被 删除 , 则 该 账户 仍 具 有 相应 访问 权限 。 

(5) 单 击 “ 应 用 ”和 “确定 ”按钮 ,保存 设置 即 可 。 重 复 上 述 操 作 , 可 以 为 不 同 用 户 账户 指 
定 不 同 的 NTFS 文件 夹 权 限 。 

设置 NTFS 文件 权限 与 设置 NTFS 文件 夹 权 限 非常 相似 ,如 图 3-44 所 示 ,此 处 不 再 蓝 
述 。NTFS 文件 权限 仅 对 目标 文件 有 效 , 但 建议 用 户 尽量 不 要 采用 直接 为 文件 设置 权限 的 
方式 ,而 是 应 当 将 文件 放置 于 文件 夹 中 ,然后 对 该 文件 夹 设置 权限 。 

2. 取消 Everyone 所 有 权限 

Everyone 组 是 Windows 系统 中 的 一 个 特殊 组 ,代表 所 有 当前 系统 或 网 络 上 的 所 有 用 
户 账户 ,包括 来 自 其 他 域 或 网 络 计 算 机 的 来 宾 账 户 , 并 且 无 论 用 户 何 时 登录 到 网 络 上 ,或 通 
过 网 络 访问 本 地 计算 机 ,都 会 自动 将 该 用 户 添加 到 Everyone 组 中 。 如 果 为 Everyone 组 赋 
予 某 种 控制 权限 , 则 任何 用 户 都 可 以 对 所 涉及 的 文件 夹 或 文件 进行 操作 ,严重 影响 系统 安 
全 ,因此 建议 取消 Everyone 组 的 所 有 权限 。 需 要 注意 的 是 ,在 早期 版 本 的 Windows NT 系 


. © [ls 
第 3 章 ”网 络 服务 雪 全 


统 中 ,匿名 登录 用 户 也 是 属于 Everyone 组 的 ,但 在 Windows Server 2003/2008 系统 中 ，“ 匿 
名 登录 ”组 在 默认 情况 下 已 不 是 Everyone 组 的 成 员 。 

在 资源 管理 器 中 , 右 击 磁盘 盘 符 ,打开 磁盘 属性 对 话 框 ,切换 到 “安全 ”选择 卡 ,继续 单 击 
“编辑 ”按钮 ,显示 如 图 3-45 所 示 的 对 话 框 ,在 “组 或 用 户 名 ”列表 框 中 选择 Everyone, 并 单 击 
“删除 ”按钮 将 其 删除 。 最 后 , 单 击 “ 确 定 ” 按 钮 保存 设置 即 可 。 


| | | | 
RN | 工具 | Wh E33 
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图 3-44 设置 NTFS 文件 权限 图 3-45 删除 Everyone 组 


默认 情况 下 ,在 Windows Server 2008 系统 中 ,Everyone 组 只 被 赋予 了 很 少 的 读 取 权 
限 , 安 全 性 已 相对 较 高 ,但 在 早期 版 本 的 Windows NT 系统 中 ,该 账户 却 拥有 完全 控制 权 
限 , 很 容易 对 系统 安全 造成 威胁 。 


3.3.2 磁盘 配额 


如 果 要 在 已 经 使 用 的 磁盘 中 启用 磁盘 配额 功能 , Windows Server 2008 将 计算 到 启动 
时 间 点 为 止 , 在 该 卷 中 复制 文件 、 保 存 文件 或 取得 文件 所 有 权 的 所 有 用 户 , 使 用 的 磁盘 空间 。 
根据 统计 结果 ,自动 为 每 个 用 户 设 置 配额 限度 和 警告 级 别 。 当 然 ,管理 员 可 以 为 某 个 或 多 个 
用 户 设 置 不 同 的 配额 或 禁用 配额 。 另 外 ,也 可 以 为 还 没有 在 卷 上 复制 文件 、 保 存 文件 和 取得 
文件 所 有 权 的 用 户 设置 磁盘 配额 ,或 者 在 一 个 新 创建 的 卷 上 
启用 磁盘 配额 功能 。 

1. 启动 磁盘 限额 

在 默认 的 情况 下 ,磁盘 配额 是 没有 启用 的 。 启 动 磁盘 配 
额 的 操作 步骤 如 下 。 

(1) 在 Windows 资源 管理 器 中 , 右 击 想 要 启用 配额 功能 
的 NTFS 卷 (如 本 地 磁盘 C) ,并 选择 快捷 菜单 中 的 “属性 ” 选 
项 ,打开 “本 地 磁盘 (C:) 属 性 ”对 话 框 ,切换 到 如 图 3-46 所 示 
的 “配额 ”选项 卡 , 选 中 “启用 配额 管理 ” 复 选 框 , 即 可 启用 磁 
盘 配 额 管理 。 

选择 其 中 相应 的 各 个 选项 ,以 配置 系统 的 磁盘 配额 
功能 。 图 3-46 “配额 ”选项 卡 
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@ 选中 “拒绝 将 磁盘 空间 给 超过 配额 限制 的 用 户 " 复 选 框 ,超过 其 配额 限制 的 用 户 , 将 
收 到 来 自 Windows 的 “磁盘 空间 不 足 ” 的 错误 信息 ,并 且 在 没有 从 中 删除 和 移动 一 些 现存 文 
件 的 情况 下 ,无 法 将 额外 的 数据 写 人 卷 中 。 如 果 清除 该 复 选 框 , 则 用 户 可 以 超过 其 配额 限制 。 

@ 选中 “将 磁盘 空间 限制 为 " 单 选 按钮 ,并 输入 允许 卷 的 新 用 户 使 用 的 磁盘 空间 数量 ， 
以 及 在 将 事件 写 和 系统 日 志 前 已 经 使 用 的 磁盘 空间 量 。 网 络 管理 员 可 以 在 * 事 件 查看 器 ”中 
查看 这 些 事件 。 在 磁盘 空间 和 警告 级 别 中 可 以 使 用 十 进 制 数值 ,从 下 拉 列 表 框 中 选择 适当 
的 单位 (如 KB、MB、GB 等 ) 。 

@ 选中 “用 户 超出 配额 限制 时 记录 事件 " 复 选 框 。 此 时 如 果 启 用 配额 , 则 只 要 用 户 超过 
其 配额 限制 ,事件 就 会 写 人 到 本 地 计算 机 的 系统 日 志 中 。 管 理 员 可 以 用 “事件 查看 器 ”, 通 过 
筛选 磁盘 事件 类 型 来 查看 这 些 事件 。 默 认 情况 下 ,配额 事件 每 小 时 都 会 被 写 人 本 地 计算 机 
的 系统 日 志 

@ 选中 “用 户 超过 警告 等 级 时 记录 事件 " 复 选 框 。 此 时 如 果 启 用 配额 , 则 只 要 用 户 超过 
其 警告 级 别 ,事件 就 会 写 人 到 本 地 计算 机 的 系统 日 志 中 。 管 理 员 可 以 用 “事件 查看 器 ”, 通 过 
筛选 磁盘 事件 类 型 来 查看 这 些 事 件 。 默 认 情况 下 ,配额 事件 每 小 时 都 会 被 写 入 本 地 计算 机 
的 系统 日 志 中 。 

(2) 单 击 “确定 ”按钮 ,保存 所 做 设置 ,启用 磁盘 配额 完成 。 

(3) 启用 磁盘 配额 管理 后 ,所 有 的 用 户 都 使 用 磁盘 配额 启动 时 设置 的 默认 配额 限制 和 
配 招 警 告 级 别 。 使 用 配额 项 目 管理 可 以 为 每 一 个 用 户 设置 适合 的 磁盘 配额 ,对 用 户 的 磁盘 
配额 设置 进行 维护 ,并 且 可 以 记录 每 一 个 用 户 对 磁盘 空间 的 使 用 情况 。 

2. 为 特定 的 用 户 磁盘 配额 1 ol 

若 想 让 某 一 个 用 户 使 用 更 多 的 空间 ,可 以 为 “ 攻 X 晤 
该 用 户 单独 制定 更 大 的 磁盘 配额 。 | 

(1) 在 “驱动 器 属性 "对话 框 中 .选择 “配额 ” 
选项 卡 , 单 击 “配额 项 ”按钮 ,显示 如 图 3-47 所 示 a 于 上 
的 “(D:) 的 配额 项 ”窗口 。 

(2) 选择 “配额 " 下 拉 菜 单 中 的 “新 建 配 客 国宝。 下 坎 苑 尖 且 
项 ”选项 ,或 者 单 击 工具 栏 中 的 “新 建 配额 项 ”图标 按钮 ,显示 如 图 3-48 所 示 的 “选择 用 户 ” 对 
话 框 。 在 “选择 此 对 象 类 型 "文本 框 中 显示 出 当前 的 对 象 类 型 为 用 户 , 可 采用 系统 的 默认 值 。 
在 “输入 对 象 名 称 来 选择 (示例 )” 文 本 框 中 ,输入 要 设置 配额 的 用 户 名 称 。 单 击 “检查 名 称 ” 
按钮 ,检查 输入 的 用 户 账户 是 否 存 在 。 

(3) 单 击 “确定 ”按钮 ,显示 如 图 3-49 所 示 的 “添加 新 配额 项 ”对 话 框 。 选 中 “将 磁盘 空 
间 限 制 为 " 单 选 按钮 ,并 在 其 后 文本 框 中 为 该 用 户 设置 访 问 磁盘 的 空间 。 


图 3-48 “选择 用 户 ” 对 话 框 图 3-49 “添加 新 配额 项 "对话 框 
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(4) 单 击 “ 确 定 ” 按 钮 ,保存 用 户 的 磁盘 配额 设置 ,返回 到 “(D:) 的 配额 项 ”窗口 ,可 以 看 
到 新 创建 的 用 户 “ 刘 红 ” 配 额 项 显示 在 列表 框 中 。 

如 果 想 删除 指定 用 户 的 配额 项 ,可 选择 用 户 名 , 右 击 并 选择 快捷 菜单 中 的 “删除 ”选项 
即 可 。 

使 用 指定 配额 项 具有 以 下 优点 。 

(1) 登录 到 相同 计算 机 的 多 个 用 户 之 间 互 不 影响 。 

(2) 一 个 或 多 个 用 户 不 独占 公用 服务 器 上 的 磁盘 空间 。 

(3) 在 个 人 计算 机 的 共享 文件 夹 中 ,用 户 不 会 使 用 过 多 的 磁盘 空间 。 

3. 监控 每 个 用 户 的 磁盘 配额 使 用 情况 

当 为 用 户 设置 好 磁盘 配额 以 后 ,除了 可 以 借助 日志 
查看 器 "浏览 磁盘 占用 情况 外 ,在 配额 项 窗口 中 ,也 可 以 
监视 每 个 用 户 的 磁盘 配额 使 用 情况 ,并 可 单独 设置 每 个 Wo 


用 户 可 使 用 的 磁盘 空间 。 也 就 是 说 配额 项 的 主 界面 就 是 Rao 
一 个 用 户 配额 监控 器 。 SS | io 可 

若 欲 更 改 某 一 个 用 户 的 磁盘 配额 设置 ,可 右 击 该 用 
户 , 选 择 快 捷 菜 单 中 的 “属性 ?选项 ,显示 如 图 3-50 所 示 的 
“ 刘 红 (liuh@coolpen. net) 的 配额 设置 "对 话 框 ,可 以 更 改 | 
用 户 的 磁盘 空间 限制 及 警告 等 级 。 图 3-50 “ 刘 红 (liuh@ coolpen. net) 


3.3.3 文件 屏蔽 的 配额 设置 "对 话 框 


文件 屏蔽 是 文件 服务 器 中 的 重要 功能 ,部署 文件 服务 器 之 后 , 即 可 使 用 该 功能 限制 用 户 
向 文件 服务 器 写 入 的 文件 类 型 。 任 何 用 户 将 限制 类 型 的 文件 写 入 目标 文件 夹 时 ,将 出 现 “ 目 
标 文件 夹 访问 被 拒绝 ”的 被 拒绝 信息 。 文 件 屏蔽 的 主要 目的 是 限制 非法 授权 文件 写 人 定义 
的 文件 夹 。 

1. 安装 文件 服务 器 资源 管理 器 

文件 屏蔽 是 文件 服务 器 的 可 选 功能 之 一 ,用 户 可 以 根据 需求 选择 安装 。 如 果 安 装 文件 
服务 器 的 同时 ,在 “选择 角色 服务 ”列表 中 选中 了 “文件 服务 器 资源 管理 器 ”角色 服务 , 则 可 以 
直接 配置 文件 屏蔽 和 应 用 。 如 果 没 有 安装 , 则 可 以 通过 “添加 角色 服务 "向导 再 次 添加 相应 
角色 服务 ,操作 步骤 如 下 。 

(1) 在 “服务 器 管理 器 "窗口 中 ,找到 已 经 安装 好 的 “文件 服务 器 ”, 单 击 “ 添 加 角色 服务 ” 
链接 ,启动 “添加 角色 服务 "向导, 显示 如 图 3-51 所 示 的 “选择 角色 服务 ”对 话 框 。 在 “角色 服 
务 " 列 表 中 选中 “文件 服务 器 资源 管理 器 " 复 选 框 。 

(2) 单 击 “下 一 步 ?按钮 ,显示 如 图 3-52 所 示 的 "配置 存储 使 用 情况 监视 对话 框 , 选 择 
希望 监视 的 卷 。 默 认 情 况 下 ,生成 的 监视 报告 中 只 包括 * 按 所 有 者 的 文件 报告 ”和 * 按 文件 组 
的 文件 报告 "两 项 , 单 击 “ 选 项 ”按钮 ,在 “ 卷 监视 选项 ”对 话 框 的 “报告 "列表 框 中 ,可 以 选择 希 
望 监视 的 项 目 。 

(3) 单 击 “ 下 一 步 ” 按 钮 ,显示 “设置 报告 选项 ”对 话 框 。 保 存 报告 的 默认 位 置 是 C:\ 
StorageReports, 用 户 也 可 以 单 击 “ 浏 览 ” 按 钮 自 定义 。 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 3-53 所 
示 的 “确认 安装 选择 ”对 话 框 。 如 果 确 认 无 误 , 单 击 “ 安 装 ” 按 钮 即 可 开始 安装 。 


图 3-51 “选择 角色 服务 ”对 话 框 


图 3-53 “确认 安装 选择 "对话 框 
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(4) 安装 完成 后 , 单 击 “ 关 闭 ” 按 钮 退出 向 导 即 可 。 

2. 创建 限制 文件 组 

限制 文件 组 ,就 是 定义 需要 限制 的 文件 类 型 ,支持 通配符 (x* 和 ? 等 ) 定 义 。 文 件 服务 安 
装 完成 后 ,预定 义 了 11 个 文件 组 。 本 例 屏蔽 除 文 本 文件 外 的 所 有 文件 类 型 。 

(1) 依次 选择 “开始 ”>“ 管 理工 具 ” 一 “文件 服务 器 资源 管理 器 ”选项 ,打开 “文件 服务 器 资 
源 管理 器 ”窗口 ,依次 展开 “文件 屏蔽 管理 ”>“ 文 件 组 ”选项 ,显示 如 图 3-54 所 示 窗 口 。 
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图 3-54 “文件 服务 器 资源 管理 器 ”窗口 


(2) 右 击 “文件 组 ”, 在 弹出 的 快捷 菜单 中 选择 “创建 文件 组 ”选项 ,显示 如 图 3-55 所 示 
的 “创建 文件 组 属性 ”对 话 框 。 在 “文件 组 名 ”文本 框 中 ,输入 新 文件 组 的 名 称 ; 在 “要 包含 的 
文件 ”文本 框 中 输入 “ x . * ”, 表 示 当 前 策略 关联 所 有 类 型 的 文件 。 

(3) 单 击 “ 添 加 ”按钮 ,将 * . * ”加 入 到 文件 列表 中 。 如 需 排 除 某 种 类 型 的 文件 ,可 以 
在 “要 排除 的 文件 ”文本 框 中 ,输入 对 应 文件 的 扩展 名 (如 *. txt) ,然后 单 击 “ 添 加 ”按钮 ,将 
其 加 入 到 文件 列表 中 ,如 图 3-56 所 示 。 
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图 3-55 “创建 文件 组 属性 ”对 话 框 (1) 图 3-56 “创建 文件 组 属性 ”对 话 框 (2) 
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(4) 单 击 “确定 ?按钮 ,完成 新 文件 组 的 创建 。 

3. 创建 屏蔽 模板 

屏蔽 模板 ,定义 文件 组 被 监控 以 及 监控 方式 ,提供 主动 屏蔽 和 被 动 屏 蔽 两 种 模式 。 主 动 
屏蔽 ,将 屏蔽 文件 组 中 定义 的 文件 类 型 关联 的 文件 ; 被 动 屏蔽 , 仅 监控 文件 组 中 定义 的 文 
件 , 但 不 限制 写 人 目标 文件 夹 。 

(1) 在 “文件 服务 器 资源 管理 器 ”窗口 中 ,展开 如 图 3-57 所 示 的 “文件 屏蔽 模板 ”选项 。 
文件 服务 安装 完成 后 ,默认 已 经 预定 义 了 5 个 文件 屏蔽 模板 。 
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图 3-57 “文件 屏蔽 模板 ?选项 


(2) 右 击 * 文 件 屏蔽 模板 ”, 选 择 快捷 菜单 中 的 “创建 文件 屏蔽 模板 ”选项 , 显示 如 
图 3-58 所 示 的 “创建 文件 屏蔽 模板 "对话 框 。 在 “模板 名 ”文本 框 中 ,输入 新 模板 的 名 称 ; 选 
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中 “主动 屏 项: 不 允许 用 户 保存 未 经 授权 的 文件 ” 单 选 按钮 ; 在 “选择 要 阻止 的 文件 组 ”列表 
框 中 ,选择 需要 主动 屏蔽 的 文件 组 ,本 例 中 选择 新 创建 的 “所 有 文件 ”文件 组 。 

提示 :“ 主 动 屏蔽 "和 “被 动 屏蔽 ”的 主要 区 别 在 于 :“ 主 动 屏蔽 ”屏蔽 符合 文件 组 设置 的 
所 有 文件 ,“ 被 动 屏蔽 ”监控 用 户 保存 到 目标 文件 夹 的 文件 ,可 以 正常 写 入 , 仅 提 供 报 警 功 能 。 

(3) 单 击 “ 确 定 ” 按 钮 ,显示 如 图 3-59 所 示 的 “更 新 从 模板 派生 的 文件 屏蔽 ”对 话 框 , 选 
中 “ 仅 将 模板 应 用 于 与 原始 模板 匹配 的 派生 文件 屏蔽 " 单 选 按钮 。 

(4) 单 击 “确定 ”按钮 ,完成 屏蔽 模板 的 创建 。 

4. 部 署 文件 屏蔽 策略 

部 署 文件 屏蔽 策略 的 方法 很 简单 ,选择 目标 文件 夹 后 ,将 创建 的 文件 屏蔽 模板 绑 定 到 目 
标 文 件 夹 即 可 。 

(1) 在 “文件 服务 器 资源 管理 器 "窗口 中 , 右 击 “文件 屏蔽 ”并 选择 快捷 菜单 中 的 “创建 文 
件 屏蔽 ?选项 ,显示 如 图 3-60 所 示 的 ”创建 文件 屏蔽 ?对 话 框 。 单 击 “ 浏 览 ? 按 钮 ,选择 需要 保 
护 的 目标 文件 夹 。 
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(2) 单 击 “ 确 定 ” 按 钮 ,返回 到 “创建 文件 屏蔽 ”对 话 框 。 在 “文件 屏蔽 属性 ”选项 区 域 的 
“从 此 文件 屏蔽 模板 派生 属性 (推荐 选项 )” 下 拉 列 表 框 中 ,选择 “阻止 写 入 文本 文件 之 外 的 所 
有 文件 ”选项 ,在 “文件 屏蔽 属性 摘要 "列表 框 中 即 可 显示 该 屏蔽 模板 的 详细 信息 ,如 图 3-61 
所 示 。 

(3) 单 击 “创建 ?按钮 , 即 可 成 功 创建 新 的 文件 屏蔽 策略 。 

5. 文件 屏蔽 测试 

此 时 文件 屏蔽 模板 的 内 容 是 : 阻止 写 入 文本 文件 之 外 的 所 有 文件 。 为 了 验证 设置 是 否 
生效 ,可 以 进行 如 下 实验 。 

(1) 在 受 保护 的 目录 下 (本 例 中 为 D:\) ,新 建 一 个 . docx 文件 时 ,显示 如 图 3-62 所 示 的 
“目标 文件 夹 访 问 被 拒绝 ”对 话 框 ,. docx 类 型 的 文档 不 能 被 创建 。 

(2) 仍 在 该 目录 下 ,新建 一 个 . txt 文件 时 ,可 以 顺利 完成 ,如 图 3-63 所 示 。 这 是 因为 屏 
项 文件 类 型 中 已 经 排除 了 . txt 文件 。 
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图 3-63 创建 测试 文本 文件 


3.3.4 知识 链接 : 文件 服务 安全 


1. 基于 NTFS 文件 系统 的 访问 控制 

(1) NTFS 文件 和 文件 夹 权限 

对 于 NTFS 分 区 上 的 文件 和 文件 夹 ,管理 员 可 以 通过 NTFS 权限 限制 不 同 用 户 账户 
的 访问 权限 。 文 件 和 文件 夹 的 NTFS 权限 有 两 种 类 型 : 显 式 权限 和 继承 权限 。 其 中 , 显 
式 权 限 是 系统 创建 对 象 时 ,默认 赋予 用 户 账户 的 访问 和 操作 权限 ; 继承 权限 是 从 父 对 象 
传播 到 当前 对 象 的 权限 。 继 承 权 限 可 以 减轻 管理 权限 的 任务 ,并 且 确 保 给 定 容器 内 所 有 
对 象 之 间 的 权限 一 致 性 。 默 认 情况 下 ,文件 将 自动 继承 来 自 其 父 文件 夹 的 NTFS 权限 
设置 。 

NTFS 文 件 夹 权限 及 允许 用 户 完成 的 操作 如 表 3-1 所 示 。 
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表 3-1 NTFS 文件 夹 权 限 及 允许 用 户 完成 的 操作 


NTFS 文件 夹 权 限 允许 用 户 完成 的 操作 

读 取 查看 该 文件 夹 中 的 文件 和 子 文件 夹 。 查 看 文件 夹 的 所 有 者 、 权 限 和 属性 (如 只 读 、 
隐藏 存档 和 系统 ) 

写 人 在 该 文件 夹 内 新 建文 件 和 子 文件 夹 。 更 改 文件 夹 属性 ,查看 文件 夹 的 所 有 者 和 
权限 

列 出 文件 夹 目 录 | 查看 该 文件 夹 中 的 文件 和 子 文件 夹 的 名 称 

读 取 及 运行 完成 “ 读 取 ” 权 限 和 “ 列 文件 夹 目录 ”权限 所 允许 的 操作 。 漫 游 各 个 文件 夹 , 以 便 访 

这 问 其 他 文件 和 文件 夹 , 即 使 该 用 户 没 有 访问 那些 文件 夹 的 权限 

修改 完成 “ 写 人 ”权限 及 “ 读 取 及 执行 "权限 所 允许 的 操作 。 删 除 文 件 夹 

完全 控制 完成 其 他 所 有 NTFS 权限 允许 的 操作 。 更 改 权 限 ,取得 所 有 权 和 删除 子 文件 夹 和 
文件 


NTFS 文件 权限 及 允许 用 户 完 成 的 操作 如 表 3-2 所 示 。 
表 3-2 NTFS 文件 权限 及 允许 用 户 完 成 的 操作 


NTFS 文件 权限 允许 用 户 完成 的 操作 
读 取 读 该 文件 和 查看 文件 属性 ,所 有 者 及 权限 
写 人 覆盖 该 文件 ,更 改 文件 属性 和 查看 文件 的 所 有 者 和 权限 


读 取 及 运行 完成 “ 读 取 ”权限 所 允许 的 操作 。 运 行 应 用 程序 


修改 完成 " 写 人 "权限 和 "* 读 取 及 运行 "权限 所 允许 的 操作 。 修 改 和 删除 文件 
完全 控制 完成 其 他 所 有 NTFS 文件 权限 所 允许 的 操作 。 更 改 权限 和 取得 所 有 权 


(2) 多 重 NTFS 权限 

管理 员 可 以 根据 需要 为 NTFS 分 区 上 的 文件 和 文件 夹 同时 设置 NTFS 权限 ,而 文件 夹 
和 文件 又 有 可 能 是 包含 与 被 包含 的 关系 ,所 以 必然 会 产生 资源 权限 的 重复 ,从 而 直接 导致 文 
件 夹 或 文件 最 终 的 NTFS 权限 并 非 是 管理 员 真 正 需要 的 结果 。 

Q@ 权限 累积 。 用 户 对 一 个 资源 的 最 终 权 限 ,是 为 该 用 户 指定 的 全 部 NTFS 权限 和 为 该 
用 户 所 属 组 指定 的 全 部 NTFS 权限 之 和 。 如 果 某 用 户 拥 有 一 个 文件 夹 的 读 取 权 限 , 同 时 又 
是 对 该 文件 夹 有 写 和 权限 的 用 户 组 的 成 员 , 则 最 终 该 用 户 对 这 个 文件 夹 既 有 读 取 权 限 ,也 有 
写 人 权限 。 

@ 文件 权限 优先 于 文件 夹 权限 。NTFS 文件 权限 优先 于 NTFS 文件 夹 权 限 , 即 用 户 只 
要 有 访问 一 个 文件 的 权限 ,即使 没有 访问 该 文件 所 在 文件 夹 的 权限 ,也 可 以 访问 该 文件 。 

@ 拒绝 权限 优先 于 其 他 权限 。 在 Windows 系统 的 所 有 NTFS 权限 中 ,拒绝 权限 优先 
于 其 他 任何 权限 。 即 使 用 户 作为 一 个 组 的 成 员 有 权 访 问 文件 或 文件 夹 , 一 旦 该 用 户 被 设置 
了 拒绝 访问 权限 , 则 最 终 将 剥夺 该 用 户 可 能 拥有 的 任何 其 他 权限 。 在 实际 使 用 中 ,应 当 尽 量 
避免 使 用 拒绝 权限 。 

(3) NTFS 权限 的 继承 性 

NTFS 权限 是 具有 继承 性 的 。 所 谓 继承 性 ,就 是 指 NTFS 权限 自动 从 父 对 象 传播 到 当 
前 对 象 的 过 程 ,例如 子 文件 夹 继承 来 自 其 父 文件 夹 的 NTFS 权限 ,文件 继承 来 自 文件 夹 的 


85 


[ 


计算 机 网 络 朗 侈 


NTFS 权限 等 。 当 然 , 正 是 因为 Windows 系统 默认 启用 了 NTFS 权限 继承 , 才 会 使 用 户 不 
容易 更 加 直观 地 判断 对 象 最 终 的 NTFS 权限 值 。 管 理 员 可 以 根据 实际 情况 ,限制 这 种 权限 
继承 。 

(4) 设置 NTFS 权限 基本 策略 和 规则 

NTFS 权限 不 仅 在 本 地 系统 或 本 地 域 中 有 效 , 当 目标 资源 在 网 络 上 共享 时 ,这 些 权限 设 
置 同样 有 效 , 并 且 优先 级 高 于 共享 权限 设置 。 因 此 ,从 网 络 安全 角度 考虑 ,将 资源 设置 为 共 
享 之 前 ,应 先 配 置 其 NTFS 权限 ,以 确保 访问 的 安全 性 。 在 设置 NTFS 权限 时 ,必须 遵循 以 
下 基本 策略 和 规则 。 

@ 为 了 简化 管理 ,应 事先 对 目标 文件 进行 分 类 管理 ,将 同一 类 别 归 于 同一 文件 夹 中 , 例 
如 可 以 分 为 应 用 程序 ,数据 和 主 目录 文件 夹 等 ,并 将 主 目录 和 公共 文件 夹 集 中 在 一 个 与 应 用 
程序 和 操作 系统 分 开 的 独立 卷 上 ,从 而 只 需 为 文件 夹 指 定 权 限 , 而 不 必 为 单独 的 文件 指定 权 
限 。 另 外 ,将 所 有 历史 数据 保存 在 同一 目录 下 ,还 减少 了 备份 工作 的 复杂 性 。 

@ 在 文件 夹 级 指定 需要 的 全 部 权限 ,而 不 是 在 文件 级 指定 权限 。 对 于 希望 限制 用 户 访 
问 的 文件 用 单独 的 文件 夹 将 文件 分 组 ,然后 为 该 文件 夹 指 定 受 限制 的 访问 权限 。 

@ 只 允许 用 户 拥 有 他 们 所 需要 的 存 取 级 别 , 也 就 是 说 ,为 用 户 或 用 户 组 指定 最 严格 的 
NTFS 权限 ,只 要 能 够 完成 所 需 的 任务 即 可 ,从 而 减少 用 户 意外 修改 或 删除 重要 文档 和 程序 
文件 的 可 能 性 。 如 果 用 户 只 需要 读 取 一 个 文件 ,那么 ,就 只 赋予 其 对 该 文件 的 读 取 权 限 。 

@ 按照 组 成 员 对 资源 的 访问 需要 创建 组 ,然后 ,为 组 指定 适当 的 权限 。 只 有 必要 时 才 
为 单独 的 用 户 指定 权限 。 

@ 对 于 全 部 应 用 程序 的 可 执行 文件 ,应 当 为 Administrators 组 指定 读 取 ,执行 权限 和 更 改 
权限 ,但 只 为 Users 组 指定 读 取 和 执行 权限 ,从 而 有 效 防止 应 用 程序 文件 被 删除 或 破坏 。 

@ 对 于 公共 数据 文件 夹 ,应当 为 Creator Owner 指定 完全 控制 权限 ,使 用 户 可 以 删除 
和 修改 其 创建 的 文件 和 文件 夹 ,从 而 完全 访问 在 公共 数据 文件 夹 中 创建 的 文件 或 文件 夹 。 

@ 对 于 公共 文件 夹 ,应 当 为 Everyone 组 指定 读 取 权限 和 写 入 权限 ,并 为 Creator 
Owner 指定 完全 控制 权限 ,使 用 户 能 够 完全 访问 他 们 创建 的 文件 , 读 取 和 修改 其 他 用 户 创 
建 的 文件 ,并 能 够 读 取 \ 修 改 和 删除 他 们 自己 创建 的 文件 和 文件 来。 同时 ,Everyone 组 的 成 
员 只 能 读 取 该 文件 夹 中 的 文件 ,并 可 向 该 文件 夹 中 添加 文件 。 

@ 设置 允许 权限 而 不 是 拒绝 权限 。 如 果 不 希 望 让 某 个 用 户 或 用 户 组 访问 某 个 特定 的 
文件 夹 或 文件 ,就 不 要 为 其 指定 权限 。 拒 绝 权 限 应 当 是 个 例外 ,而 不 是 经 常 使 用 的 操作 。 只 
有 在 必须 拒绝 特定 的 用 户 账户 或 组 的 某 种 特定 的 访问 类 型 时 , 才 设 置 拒绝 权限 。 

@ 如 果 只 是 在 这 台 计 算 机 上 访问 资源 , 则 使 用 描述 性 的 长 文件 名 。 如 果 该 文件 夹 将 来 
要 共享 , 则 使 用 可 被 所 有 客户 计算 机 访问 的 文件 夹 和 文件 名 ,建议 采用 短文 件 名 的 格式 。 

借助 于 文件 服务 器 中 设置 的 访问 控制 列表 (ACL) ,不 仅 可 以 最 大 限度 地 保障 重要 数据 
存储 安全 ,保证 数据 不 会 由 于 计算 机 的 硬件 故障 而 丢失 ,而 且 还 可 以 通过 严格 的 权限 设置 ， 
有 效 地 保证 数据 的 访问 安全 。 

网 络 攻 击 的 目的 在 于 获取 用 户 权 限 , 而 获取 用 户 权限 的 目的 ,在 于 获取 超级 文件 权限 。 
因此 ,做 好 文件 权限 的 访问 控制 , 才 是 最 重要 和 最 有 效 的 安全 措施 。 

(5) 复制 和 移动 文件 夹 对 权限 的 影响 

在 NTFS 分 区 内 和 NTFS 分 区 之 间 复 制 或 者 移动 文件 ,文件 夹 时 , Windows 系统 会 将 
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其 作为 新 文件 或 文件 夹 , 因 此 ,会 对 源 文件 或 文件 夹 的 NTFS 权限 产生 影响 。 在 复制 文件 
和 文件 夹 时 ,必须 拥有 源 文件 夹 的 “ 读 取 ” 权 限 , 并 且 对 目标 文件 夹具 有 “ 写 入 ”权限 。 在 移动 
文件 或 文件 夹 时 ,必须 对 目标 文件 夹 拥有 “ 写 入 ”权限 ,并 且 对 源 文件 夹 拥 有 “修改 ”权限 。 

当 从 一 个 文件 夹 向 另 一 个 文件 夹 复制 文件 或 文件 夹 时 ,或 者 从 一 个 磁盘 分 区 向 另 一 个 
磁盘 分 区 复制 文件 或 文件 夹 时 ,复制 文件 或 文件 夹 对 NTFS 权限 产生 下 述 影响 。 

Q@ 当 在 单个 NTFS 分 区 内 复制 文件 夹 或 文件 时 ,文件 夹 或 文件 的 复制 将 继承 目的 文件 
夹 的 权限 。 

@ 当 在 NTFS 分 区 之 间 复 制 文件 夹 或 文件 时 ,文件 夹 或 文件 的 复 件 将 继承 目的 地 文件 
夹 的 权限 。 

@ 当 将 文件 或 文件 夹 复制 到 非 NTFS 分 区 时 ,因为 目标 分 区 不 再 支持 NTFS 权限 ,所 
以 ,这 些 文件 或 文件 夹 将 丢失 NTFS 权限 。 

移动 对 NTFS 权限 的 影响 如 下 。 

@ 当 在 单个 NTFS 分 区 内 移动 文件 夹 或 文件 时 ,该 文件 夹 或 文件 保留 其 原来 的 权限 。 

@ 当 在 NTFS 分 区 之 间 移 动 文件 夹 或 文件 时 ,该 文件 夹 或 文件 将 继承 目的 地 文件 夹 权 
限 。 当 在 NTFS 分 区 之 间 移 动 文件 夹 或 文件 时 ,实际 是 将 该 文件 夹 或 文件 复制 到 新 位 置 ， 
然后 ,将 其 从 原来 的 位 置 删除 。 

@ 当 将 文件 或 文件 夹 移动 到 非 NTFS 分 区 时 ,因为 非 NTFS 分 区 不 支持 NTFS 权限 ， 
所 以 ,这 些 文件 和 文件 夹 将 丢失 其 NTFS 权限 。 

2. 磁盘 配额 

磁盘 配额 是 NTFS 文件 系统 特有 的 安全 功能 ,可 以 帮助 管理 员 控 制 每 个 用 户 账户 的 磁 
盘 空 间 使 用 情况 。 磁 盘 配 额 是 以 文件 所 有 权 为 基础 的 ,只 应 用 于 卷 , 且 不 受 卷 的 文件 夹 结构 
及 物理 磁盘 上 的 布局 影响 。 由 于 磁盘 配额 监视 个 人 用 户 卷 的 使 用 情况 ,因此 ,每 个 用 户 对 磁 
盘 空 间 的 利用 都 不 会 影响 同一 卷 上 其 他 用 户 的 磁盘 配额 。 

磁盘 配额 管理 技术 ,主要 是 根据 网 络 管理 员 设 置 的 标准 ,跟踪 对 被 保护 卷 的 写 操作 ,如 
果 被 保护 卷 达到 或 超过 了 设 定 级 别 , 则 用 户 就 会 收 到 服务 器 自动 发 送 的 消息 ,警告 该 卷 已 经 
接近 配额 ,或 者 磁盘 配额 管理 器 将 阻止 用 户 向 该 卷 写 数据 。 管 理 员 能 够 启用 磁盘 配额 ,并 设 
置 两 个 值 。 

(1) 磁盘 配额 限度 。 用 于 指定 允许 用 户 使 用 的 磁盘 空间 容量 。 

(2) 磁盘 配额 警告 级 别 。 指 定 了 用 户 接 近 其 配额 限度 的 值 。 

使 用 磁盘 配额 过 程 中 ,应 注意 如 下 3 个 方面 。 

(1) 驱动 器 的 文件 格式 必须 为 NTFS 文件 系统 格式 。 如 果 驱 动 器 的 磁盘 格式 为 
FAT32 文件 系统 ,可 以 使 用 Windows Server 2003/2008 提供 的 文件 系统 转换 工具 Convert 
进行 转换 。 

(2) 必须 以 管理 员 或 管理 员 组 成 员 的 身份 登录 到 Windows 系统 。 

(3) 在 文件 服务 器 上 选中 “为 此 服务 器 的 新 用 户 设置 默认 磁盘 空间 配额 ” 复 选 框 , 在 “将 
磁盘 空间 限制 为 "和 “将 警告 级 别 设置 为 ”文本 框 中 .输入 适当 的 数值 ,使 用 户 只 能 使 用 规定 
数额 的 磁盘 空间 ,从 而 避免 服务 器 硬盘 的 滥用 。 当 用 户 使 用 的 空间 达到 指定 的 警告 值 时 , 系 
统 将 提示 用 户 磁 盘 空 间 剩 余 值 。 当 用 户 使 用 的 空间 达到 规定 的 磁盘 限额 时 ,系统 将 禁止 用 
户 再 向 服务 器 写 入 文件 ,从 而 确保 服务 器 硬盘 空间 被 合理 、 公 平地 使 用 。 
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3. 文件 屏蔽 

在 文件 服务 器 资源 管理 器 的 “文件 屏蔽 管理 ”中 ,可 以 执行 下 列 任务 。 

(1) 通过 创建 文件 屏蔽 来 控制 用 户 可 以 保存 的 文件 类 型 ,以 及 在 用 户 尝试 保存 未 经 授 
权 的 文件 时 生成 通知 。 

(2) 定义 可 以 应 用 于 新 的 卷 或 文件 夹 .以 及 可 以 在 整个 组 织 中 使 用 的 文件 屏蔽 模板 。 

(3) 创建 增强 文件 屏蔽 规则 灵活 性 的 文件 屏蔽 例外 。 

(4) 确保 服务 器 上 的 个 人 文件 夹 中 未 存储 任何 音乐 文件 ,还 可 以 允许 存储 支持 法 律 权 
限 管理 或 符合 公司 策略 的 特定 媒体 文件 类 型 。 

(5) 执行 屏蔽 进程 ,在 共享 文件 夹 中 存储 可 执行 文件 时 通过 电子 邮件 通知 用 户 , 其 中 包 
含 存 储 文件 的 用 户 和 文件 的 准确 位 置 等 信息 ,以 使 用 户 可 以 采取 相应 的 预防 措施 。 


3.4 IIS 服务 安全 


IIS 是 Windows 系统 中 最 常用 的 网 络 服务 之 一 ,可 以 为 Internet 或 Intranet 提供 
WWW 服务 和 FTP 服务 。 不 仅 如 此 ,许多 网 络 服务 也 是 基于 IIS 服务 的 ,例如 流 媒体 服务 、 
终端 服务 等 。 如 何 加 强 IIS 的 安全 机 制 , 建 立 高 安全 性 能 的 可 靠 的 WWW 服务 器 ,已 成 为 
网 络 管理 的 重要 组 成 部 分 。 


3.4.1 JIP 地 址 访问 限制 


默认 情况 下 ,IIS 会 自动 检查 每 个 来 访 者 的 IP 地 址 ,通过 IP 地 址 的 访问 来 防止 或 允许 
某 些 特定 的 计算 机 、 域 ,甚至 整个 网 络 访问 站 点 。 因 此 ,通过 IP 地 址 限制 来 在 Internet 上 排 
除 未 知 用 户 是 非常 有 效 的 方法 。 同 时 ,IIS 7.0 还 提供 了 基于 Windows 域 的 访问 限制 ,管理 
员 可 以 禁止 或 允许 来 自 指定 域 的 用 户 ,访问 站 点 或 目录 ,该 功能 默认 是 未 启用 的 。 

1. Web 站 点 

(1) 在 “Internet 信息 服务 (IIS) 管 理 器 ”的 “Default Web Site 主页 "窗口 中 ,双击 “IPv4 
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(2) 单 击 “ 添 加 允许 条 目 ” 链 接 , 打 开 “ 添 加 允许 限制 规则 ”对 话 框 。 系 统 默 认 选中 “特定 
IPv4 地 址 ” 单 选 按钮 ,在 对 应 文本 框 中 ,输入 想 要 允许 访问 的 单个 IP 地 址 即 可 。 建 议 选中 
“IPv4 地 址 范围 ” 单 选 按钮 ,并 输入 相应 的 主机 IP 地 址 和 “ 掩 码 ”, 如 图 3-65 所 示 , 可 以 同时 
添加 多 个 被 允许 访问 的 主机 IP 地 址 。 

(3) 单 击 “ 确 定 ” 按 钮 ,新 创建 的 限制 规则 即 可 被 添加 到 “IPv4 地 址 和 域 限制 ”列表 中 。 
“添加 拒绝 条 目 ” 的 操作 步 又 与 之 类 似 ,此 处 不 再 玲 述 。 

(4) 在 “操作 ”列表 中 单 击 “ 编 辑 功能 设置 "链接 ,显示 如 图 3-66 所 示 的 “编辑 IP 和 域 限 
制 设置 "对话 框 ,用 户 还 可 以 根据 域名 来 限制 要 访问 的 计算 机 。 在 “未 指定 的 客户 端的 访问 
权 ” 下 拉 列 表 框 中 ,设置 除 指定 的 IP 地址 外 的 客户 端 ,访问 该 网 站 时 所 进行 的 操作 ,用 户 可 
以 根据 需要 在 下 拉 列 表 框 中 ,选择 “允许 ”或 “拒绝” 选项。 车 选 中 “启用 域名 限制 " 复 选 框 , 即 
可 启用 域名 限制 。 需 要 注意 的 是 ,通过 域名 限制 访问 会 要 求 DNS 反 向 查找 每 一 个 链接 ,这 
将 会 严重 影响 服务 器 的 性 能 ,建议 不 要 使 用 。 

(5) 在 “操作 ?列表 中 单 击 * 恢 复 为 继承 的 项 ”链接 ,显示 如 图 3-67 所 示 的 “IPv4 地 址 和 
域 限制 ?对 话 框 ,恢复 功能 以 从 父 配置 中 继承 设置 ,该 操作 将 为 当前 功能 删除 本 地 配置 设置 
(包括 列表 中 的 项 目 ) ,应 慎重 使 用 。 
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图 3-65 “添加 允许 限制 规则 ” ”图 3-66 “编辑 IP 和 域 限制 图 3-67 “IPv4 地 址 和 域 限 制 ” 
对 话 框 设置 ”对话 框 对 话 框 


(6) 在 “操作 ”列表 中 单 击 “ 查 看 经 过 排序 的 列表 ”链接 ,显示 如 图 3-68 所 示 窗 口 。IIS 
7.0 是 按照 限制 规则 列表 中 条 目的 顺序 依次 执行 的 。 例 如 ,当前 规则 列表 中 包括 两 条 限制 
条 目 : 拒绝 了 地 址 为 192. 168. 1. 21 的 主机 访问 ,允许 整个 192. 168. 1. 1 一 192. 168. 1. 254 网 
段 访问 , 即 被 拒绝 的 IP 地 址 192. 168. 1. 21 又 在 被 允许 访问 的 网 段 内 。 此 时 ,如 果 经 过 排序 
后 拒绝 在 先 , 则 将 拒绝 指定 用 户 访问 ; 如 果 允 许 在 先 则 将 允许 该 用 户 访问 。 

(7) 在 经 过 排序 的 限制 列表 中 ,选择 想 要 移动 的 限制 条 目 , 单 击 * 上 移 " 或 “下 移 ” 链 接 ， 
即 可 调整 执行 顺序 。 

2. FTP 站 点 

通过 对 IP 地 址 的 限制 ,同样 可 以 只 允许 或 拒绝 某 些 特定 范围 内 的 计算 机 访问 该 FTP 
站 点 ,从 而 可 以 在 很 大 程度 上 避免 来 自 外 界 的 恶意 攻击 ,并且 将 授权 用 户 限 制 在 某 一 个 范 
围 。 将 IP 地址 限制 与 用 户 认证 访问 结合 在 一 起 ,将 进一步 提高 FTP 站 点 访问 的 安全 性 。 
特别 是 对 于 企业 内 部 的 FTP 站 点 而 言 ,采用 IP 地 址 限制 的 方式 ,是 非常 简单 而 有 效 的 。 

(1) 打开 FTP 站 点 属性 对 话 框 ,切换 到 “目录 安全 性 ”选项 卡 , 如 图 3-69 所 示 , 选 中 “ 拒 
绝 访问 ” 单 选 按钮 ,表示 默认 情况 下 所 有 计算 机 均 被 拒绝 访问 ,只 有 将 要 添加 的 IP 地 址 用 户 
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可 以 访问 。 相 反 , 也 可 以 设置 为 默认 情况 下 所 有 计算 机 都 将 被 “允许 访问 ”, 然 后 创建 需要 拒 
绝 访 问 的 全 地 址 列表 。 
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图 3-68 查看 经 过 排序 的 列表 图 3-69 “目录 安全 性 ”选项 卡 


(2) 单 击 “ 添 加 ”按钮 ,显示 如 图 3-70 所 示 的 “授权 访问 ”对 话 框 ,默认 选中 “一 台 计 算 
机 ” 单 选 按 钮 ,每 次 只 能 添加 一 个 IP 地 址 。 建 议 选中 “一 组 计算 机 ” 单 选 按 钮 ,在 “网 络 标 识 ” 
和 “ 子 网 抢 码 ”文本 框 中 ,输入 相应 的 网 络 标识 信息 ,添加 一 个 网 段 内 的 所 有 IP 地 址 。 

(3) 单 击 “ 确 定 ” 按 钮 ,将 该 所 选 IP 地址 或 耳 地 址 段 添 加 至 “下 列 除外 ?列表 中 ,如 图 3-71 
所 示 。 创建 “拒绝 访问 IP 地 址 列表 的 方法 与 之 相同 ,此 处 不 再 袭 述 。 
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图 3-70 创建 成 功 的 授权 访问 IP 地 址 
(4) 单 击 “ 确 定 ” 按 钮 ,保存 设置 即 可 。 
3.4.2 安全 HTTP 


图 3-71 “授权 访问 ”对 话 框 


SSL 安全 功能 可 以 通过 对 传输 信息 进行 加 密 , 实 现 Web 客户 端 与 Web 服务 端的 安全 
传输 ,避免 数据 被 中 途 截获 和 算 改 。 对 于 安全 性 要 求 很 高 的 、 可 交互 性 的 Web 网 站 ,建议 采 
用 SSL 加 密 方式 。 若 欲 实现 SSL 通信 ,Web 服务 器 必须 拥有 有 效 的 服务 器 证 书 。 

1. 创建 服务 器 证 书 


要 想 为 站 点 启用 SSL 安全 保护 ,必须 在 服务 器 端 创建 用 于 SSL 加 密 的 证 书 和 启用 SSL 
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设置 。“ 服 务 器 证 书 ” 包 含 关 于 服务 器 的 信息 ,服务 器 允许 客户 在 共享 敏感 信息 之 前 ,对 其 加 
以 积极 识别 ,WWW 服务 器 只 有 安装 有 效 服务 器 证 书后 , 才 拥 有 安全 通信 功能 。 

(1) 在 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 中 ,选择 希望 使 用 SSL 安全 加 密 的 站 点 , 双 
击 “ 服 务 器 证 书 ” 图 标 ,显示 如 图 3-72 所 示 的 “服务 器 证 书 ” 窗 口 。 安 装 IIS 7.0 过 程 中 ,系统 
已 经 自动 创建 了 一 个 服务 器 证 书 , 管 理 员 可 以 直接 应 用 该 证 书 ,也 可 以 导入 已 有 证 书 ,或 者 
创建 新 的 证 书 。 这 里 选择 “创建 自 签名 证 书 ”, 各 项 操作 功能 含义 如 下 。 
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图 3-72 “服务 器 证 书 ” 窗 口 


@ 导入 。 还 原 已 丢失 或 损坏 ,但 之 前 已 备份 的 服务 器 证 书 ,也 可 以 应 用 来 自 其 他 用 户 
或 证 书 颁发 机 构 的 证 书 。 

@ 创建 证 书 申请 。 如 果 网 络 存在 第 三 方 证 书 颁发 机 构 (CA, 证 书 服务 器 ), 可 以 通过 这 
种 方法 向 证 书 服务 器 提交 证 书 申请 ,通过 审核 后 即 可 获得 属于 自己 的 服务 器 证 书 。 

@ 完成 证 书 申请 。 安 装 从 证 书 颁发 机 构 接收 到 的 证 书 ,并 开始 应 用 。 

@ 创建 域 证 书 。 向 内 部 证 书 颁发 机 构 提 供 有 关 当 前 服务 器 的 信息 。 

@ 创建 自 签名 证 书 。 创 建 仅 在 服务 器 测试 环境 中 使 用 并 且 可 用 于 排除 第 三 方 证 书 故 
障 的 证 书 , 无 须 向 第 三 方 服务 器 提交 和 等 待 批准 。 

@ 查看 。 查 看 所 选 证 书 的 详细 信息 。 

@ 导出 。 导 出 所 选 证 书 的 备份 ,可 以 继续 
应 用 于 其 他 目标 服务 器 ,或 保存 为 备份 .以便 重 | 
新 安装 服务 器 或 证 书 损坏 后 ,可 以 快速 导入 。 。 

@ 删除 。 删 除 选 择 的 证 书 。 XM te 

(2) 在 右 侧 “操作 ”列表 中 , 单 击 “创建 自 签 
名 证 书 "链接 ,显示 如 图 3-73 所 示 的 “创建 自 签 
名 证 书 ”对话 框 。 在 “为 证 书 指定 一 个 好 记名 
称 "文本 框 中 ,输入 服务 器 证 书 的 文件 名 。 单 击 
“确定 "按钮 ,创建 自 签名 证 书 完成 ,新 创建 的 证 
书 即 可 显示 在 列表 中 ,选中 创建 成 功 的 自 签名 
服务 器 证 书 safe_site, 单 击 “ 查 看 "链接 ,可 以 查 图 3-73 “创建 自 签名 证 书 ” 对 话 框 
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看 该 证 书 的 名 称 、 颁 发 者 、 颁 发 给 、 到 期 日 期 等 详细 信息 。 

(3) 在 “Internet 信息 服务 (IIS) 管 理 器 ?窗口 的 “网 站 ?列表 中 , 右 击 希望 应 用 此 证 书 的 
站 点 (注意 ,必须 是 https 站 点 ) ,选择 快捷 菜单 中 的 “编辑 绑 定 ”选项 ,显示 如 图 3-74 所 示 的 
“网 站 绑 定 ”对话 框 。 

(4) 选中 https 站 点 并 单 击 “编辑 ”按钮 ,显示 如 图 3-75 所 示 的 “编辑 网 站 绑 定 ? 对 话 框 ， 


“IP 地 址 ”和 “端口 ”设置 保持 默认 即 可 。 在 “SSL 证 书 ” 下 拉 列 表 框 中 ,选择 刚刚 创建 的 自 签 
名 证 书 safe_site。 


se 入 生 服务 (C15 管理 
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图 3-74 “网 站 绑 定 ”对 话 框 图 3-75 “编辑 网 站 绑 定 ”对 话 框 
(5) 单 击 “ 确 定 ” 按 钮 ,返回 “网 站 绑 定 ”对 话 框 。 单 击 “ 关 闭 ” 按 钮 保存 设置 并 退出 。 


2. 启用 SSL 设置 


在 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 中 , 单 击 需要 启用 SSL 设置 的 站 点 ,并 在 主 窗 
口中 双击 “SSL 设置 图标 ,显示 如 图 3-76 所 示 的 “SSL 设置 ?窗口 。 
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图 3-76 “SSL 设置 ”窗口 


选中 “要 求 SSL” 复 选 框 ,以 启用 40 位 数据 加 密 方 法 ,该 方法 可 以 用 来 帮助 确保 服务 器 
与 客户 端 之 间 的 传输 的 安全 性 。 该 选项 设置 既 可 用 于 Intranet 环境 ,也 可 用 于 Internet 环 
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境 。 如 果 选 中 “需要 128 位 SSL” 复 选 框 , 则 安全 性 更 高 ,不 过 传输 加 密 数 据 所 需 的 带宽 也 将 
随 之 增加 。 

在 “客户 证 书 ” 选 项 区 域 中 选中 “接受 " 单 选 按钮 , 即 可 启用 服务 器 端的 SSL 设置 ,接受 
客户 端 证 书 ( 若 提供 ) ,在 允许 客户 端 获得 内 容 访问 权限 之 前 验证 客户 端 身份 。 系 统 默认 选 
中 "忽略 ? 单 选 按钮 , 即 如 果 提 供 客户 端 证 书 , 则 该 设置 不 会 接受 ,因此 该 设置 的 安全 性 最 低 。 
如 果 选 中 “必需 " 单 选 按钮 , 则 在 接受 用 户 访问 之 前 要 求 提供 对 应 证 书 , 验 证 客 户 端 身份 的 有 
效 性 。 

设置 完成 后 ,在 “操作 ” 栏 中 单 击 “应 用 ”链接 即 可 应 用 设置 。 

3. 客户 端 设置 

用 户 访问 使 用 SSL 协议 加 密 的 站 点 或 网 页 ,与 访问 普通 站 点 略 有 不 同 。 首 先 ,使 用 加 
密 传输 的 站 点 使 用 https:// 开 头 的 URL; 其 次 ,用 户 必须 连接 到 站 点 指定 的 证 书 服务 器 ， 
获取 相关 数字 证 书 并 安装 。 


3.4.3 知识 链接 : 身份 验证 


在 IIS 7.0(Internet Information Services) 中 ,支持 以 下 7 种 身份 验证 方法 ,可 以 确认 任 
何 请 求 访问 网 站 的 用 户 的 身份 以 及 授予 访问 站 点 公共 区 域 的 权限 ,同时 又 可 防止 未 经 授权 
的 用 户 访问 专用 文件 和 目录 。IIS 7. 0 支持 的 身份 验证 方式 如 下 。 

(1) ASP. NET 模拟 身份 验证 。 启 用 该 身份 验证 方式 后 ,ASP. NET 应 用 程序 可 以 在 两 
种 环境 中 运行 , 即 作为 通过 IIS 身份 验证 的 用 户 或 作为 管理 员 设 置 的 任意 账户 。 该 身份 验 
证 方式 需要 ASP. NET 扩展 组 件 的 支持 。 

(2) Forms 身份 验证 。 使 用 Forms 身份 验证 ,可 以 为 公共 服务 器 上 的 高 流量 网 站 或 应 
用 程序 提供 身份 验证 。 该 身份 验证 模式 ,可 以 使 用 户 在 应 用 程序 级 别管 理 客户 端 注册 ,而 无 
须 依 赖 操作 系统 提供 的 身份 验证 机 制 。 

(3) 基本 身份 验证 。 基 本 验证 会 “模仿 "一 个 本 地 用 户 ( 即 实际 登录 到 服务 器 的 用 户 )， 
在 访问 WWW 服务 器 时 登录 。 因 此 , 若 欲 以 基本 验证 方式 确认 用 户 身份 ,用 于 基本 验证 的 
Windows 用 户 , 必 须 具 有 “本 地 登录 ?用户 权限 。 默 认 情 况 下 , 主 域 控制 器 (PDC) 中 的 用 户 
账户 ,不 授予 “本 地 登录 ”用 户 的 权限 。 使 用 基本 身份 验证 方法 ,将 导致 密码 以 未 加 密 形式 在 
网 络 上 传输 。 蓄 意 破坏 系统 安全 的 用 户 , 可 以 在 身份 验证 过 程 中 使 用 协议 分 析 程 序 ,破译 用 
户 和 密码 。 

(4) 摘要 式 身 份 验证 。 摘 要 式 验 证 只 能 在 域 中 使 用 。 域 控制 器 必须 具有 所 用 密码 的 纯 
文本 复 件 ,以 便 完成 散 列 操作 结果 与 浏览 器 发 送 散 列 值 的 比较 。 

(5) 匿名 身份 验证 。 这 是 IIS 7. 0 默认 使 用 的 身份 验证 方式 ,允许 任何 用 户 访问 任何 公 
共 内 容 , 而 不 用 向 客户 端 浏 览 器 提供 用 户 名 和 密码 质询 。 如 果 某 些 内 容 只 应 当 由 选 定 用 户 
查看 ,而 且 准备 使 用 匿名 身份 验证 , 则 必须 配置 相应 的 NTFS 文件 系统 权限 ,防止 匿名 用 户 
访问 这 些 内 容 。 如 果 和 希望 只 允许 注册 用 户 查 看 选 定 的 内 容 , 则 必须 为 这 些 内 容 配置 适当 的 
身份 验证 方法 ,如 基本 身份 验证 或 摘要 式 身 份 验 证 。 

(6) Windows 身份 验证 。 集 成 Windows 验证 是 一 种 安全 的 验证 形式 ,需要 用 户 输入 用 
户 账 户 和 密码 。 用 户 名 和 密码 在 通过 网 络 发 送 前 会 经 过 散 列 处 理 , 因 此 可 以 确保 安全 性 。 
当 启用 Windows 验证 时 ,用 户 的 浏览 器 通过 WWW 服务 器 进行 密码 交换 。Windows 身份 
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验证 使 用 Kerberos v5 验证 和 NTLM 验证 。 如 果 在 Windows 域 控 制 器 上 安装 了 Active 
Directory 服务 ,并 且 用 户 的 浏览 器 支持 Kerberos v5 验证 协议 , 则 使 用 Kerberos v5 验证 ， 
否则 使 用 NTLM 验证 。 

(7) 证 书 。 可 以 用 来 建立 安全 套 接 字 层 (SSL) 连 接 的 数字 凭据 ,也 可 以 用 于 验证 。 

当 不 允许 用 户 匿名 访问 时 ,还 应 当 为 IIS 用 户 账户 设置 强 密码 ,以 实现 IIS 的 访问 安全 。 
密码 应 该 足够 复杂 且 够 长 ,可 以 通过 使 用 数字 符号 和 英文 字母 (包括 大 小 写 ) 结 合 的 方式 来 
设置 密码 ,长 度 一 般 在 6 位 以 上 ,并 且 通 过 经 常 修改 密码 ,封锁 失败 的 登录 尝试 ,以 及 设 定 账 
户 的 有 效 期 等 方法 对 一 般 用 户 账 户 进行 管理 。 

如 果 IIS 服务 器 在 域 环 境 中 运行 , 则 还 将 安装 一 种 仅 适 用 于 域 环境 的 身份 验证 方式 , 即 
“Active Directory 客户 证 书 身 份 验证 ”。 人 允许 用 户 使 用 Active Directory 目录 服务 功能 ,将 
用 户 映射 至 客户 证 书 , 以 便 进 行 身份 验证 。 将 用 户 映 射 至 客户 证 书 可 以 自动 验证 用 户 的 身 
份 , 而 无 须 使 用 基本 、 摘 要 式 或 集成 Windows 身份 验证 等 其 他 身份 验证 方法 。 


习题 


1. 什么 是 只 读 域 控制 器 , 简 述 其 在 企业 网 络 中 的 主要 应 用 。 

2. 什么 是 组 作用 域 ,不 同 作用 域 的 组 的 功能 有 哪些 区 别 ? 

3. 如 何在 不 重新 启动 计算 机 的 情况 下 ,重新 启动 Windows Server 2008 系统 的 活动 目 
录 服 务 ? 

4. 如 何 为 NTFS 分 区 上 的 文件 和 文件 夹 配置 NTFS 访问 权限 ? 

5. 配置 NTFS 访问 权限 时 应 遵循 哪些 原则 ? 


实验 : 委派 管理 权限 


实验 目的 : 

掌握 权限 委派 在 域 控制 器 管理 中 的 应 用 。 

实验 内 容 

将 向 域 中 添加 计算 机 的 权利 委派 给 指定 的 域 用 户 账 户 。 

实验 步骤 : 

(1) 以 管理 员 账 户 登录 域 控制 器 。 

(2) 创建 用 于 权限 委派 的 用 户 账户 。 

(3) 启动 权限 委派 向 导 , 将 向 域 中 添加 计算 机 的 权限 委派 到 创建 好 的 用 户 账户 。 

(4) 登录 到 客户 端 计算 机 .尝试 使 用 被 委派 权限 的 用 户 账户 将 客户 端 计算 机 加 入 到 域 。 


文件 权限 管理 


文件 安全 是 网 络 安全 的 重要 课题 之 一 , 既 要 确保 网 络 用 户 能 够 正常 使 用 所 需 的 文件 ,又 
要 防止 其 滥用 ,确保 文件 的 安全 性 。 通 常情 况 下 ,可 以 通过 为 文件 设置 适当 的 访问 权限 , 限 
制 用 户 的 非法 访问 ,达到 访问 控制 的 目的 。 在 Windows Server 2008 系统 中 ,还 提供 了 AD 
RMS 文件 安全 保护 功能 ,可 以 确保 局 域 网 内 文件 的 安全 访问 。 


4.1 文件 权限 安全 规划 


文件 权限 安全 管理 主要 是 针对 安全 性 要 求 较 高 的 文件 而 言 的 ,例如 商业 机 密 、 私 人 信和 范 
等 。 对 于 一 个 中 型 机 构 而 言 , 这 些 信息 显然 是 必 不 可 少 的 ,如 何 确 保 这 些 文件 的 访问 安全 已 
经 成 为 网 络 安全 管理 员 的 一 项 重要 工作 。 


4.1.1 案例 情景 


企业 网 络 中 有 些 信 息 是 可 以 共享 使 用 的 ,甚至 可 以 发 布 到 网 络 上 ,以 供 所 有 客户 和 用 户 
下 载 使 用 ,但 是 有 些 信 息 是 绝对 需要 保密 的 ,例如 公司 财务 数据 ,产品 配方 图纸、 预期 策划 、 
客户 资料 .职工 信息 等 。 目 前 ,最 主要 的 信息 安全 保护 措施 就 是 基于 文件 服务 器 的 基本 安全 
管理 ,以 及 对 普通 客户 端 计算 机 的 使 用 限制 ,如 禁止 使 用 U 盘 、 刻 录 机 和 软盘 等 。 


4.1.2 项 目 需求 


现 有 安全 防御 措施 虽然 可 以 从 一 定 程度 上 杜绝 公司 机 密 信息 外 泄 , 但 对 客户 端 用 户 的 
正常 应 用 带 来 一 些 不 利 影响 ,迫切 需要 更 好 的 解决 方案 。 例 如 ,即使 员工 要 借助 U 盘 转 移 
一 些 普通 文件 也 无 法 实现 。 

企业 内 部 机 密 信 息 的 安全 防护 ,存在 如 下 方面 的 需求 。 

(1) 文件 在 生命 周期 内 的 安全 防护 。 这 是 安全 防御 的 重 中 之 重 , 大 部 分 机 密 信息 是 有 
时 间 限 制 的 ,在 此 期 间 内 ,应 确保 文件 不 被 破坏 、 窃 取 和 恶意 更 改 。 

(2) 多 人 共享 文件 时 应 确保 文件 不 被 非法 获取 , 即 对 机 密 信 息 的 用 户 实施 严格 身份 验 
证 ,确保 身份 的 有 效 性 ,并 做 好 详细 的 访问 记录 。 

(3) 过 期 文件 安全 处 理 。 对 于 一 些 不 需要 继续 保密 的 机 密 文 件 应 采取 妥善 的 处 理 措 
施 , 可 以 永久 销毁 ,也 可 以 将 其 转 为 普通 文件 存储 。 

(4) 禁止 非法 访问 。 在 文件 保密 期 间 , 除 严格 限制 访问 用 户 的 身份 验证 工作 之 外 ,还 应 
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严格 控制 访问 权限 ,例如 禁止 随意 复制 ,打印 或 编辑 机 密 文件 等 。 
4.1.3 解决 方案 


企业 网 络 中 现 有 的 保护 措施 已 经 可 以 确保 机 密 文件 的 物理 安全 ,文件 访问 权限 的 安全 
防护 可 以 通过 如 下 方案 解决 。 

1. AD RMS 

通过 为 文件 应 用 AD RMS 权限 保护 ,可 以 严格 限制 用 户 账户 对 文件 的 操作 权限 ,如 只 
读 、 禁 止 打印 等 。 

2. IRM 

如 果 网 络 中 没有 部 署 AD RMS 服务 器 ,也 可 以 使 用 IRM 保护 机 密 文 件 的 安全 ,严格 限 
制 访问 用 户 的 操作 权限 和 文件 的 有 效 期 。 


4.2 权限 管理 服务 


威胁 文件 安全 的 主要 因素 往往 来 自 内 部 用 户 ,而 普通 的 访问 权限 限定 很 难 做 到 万 无 一 
失 。Windows Server 2008 系统 中 的 AD RMS(Rights Management Services, 权 限 管理 服 
务 ) 可 以 通过 数字 证 书 和 用 户 身份 验证 技术 对 各 种 Office 文档 的 访问 权限 加 以 限制 ,可 以 有 效 
防止 内 部 用 户 通 过 各 种 途径 擅自 泄露 机 密 文档 内 容 , 从 而 确保 了 数据 文件 访问 的 安全 性 。 


4.2.1 安装 AD RMS 服务 器 


AD RMS 服务 并 不 是 Windows Server 2008 系统 默认 安装 的 组 件 ,需要 用 户 手动 添加 。 
完成 必要 的 准备 工作 后 , 即 可 开始 安装 AD RMS 服务 器 。 另 外 ,用 户 也 可 以 直接 安装 AD 
RMS 服务 器 ,如 果 安 装 向 导 检 测 到 未 安装 的 组 件 , 则 会 提示 用 户 ,此 时 通过 选择 相关 选项 即 
可 一 并 完成 准备 组 件 的 部 署 。 

(1) 以 具有 管理 员 权限 的 用 户 账 户 登录 到 目标 服务 器 ,在 “服务 器 管理 器 ”窗口 中 ,依次 
选择 “角色 ”一 “添加 角色 ”选项 ,显示 如 图 4-1 所 示 的 “选择 服务 器 角色 ”对 话 框 。 选 中 
Active Directory Rights Management Services 复 选 框 ,提示 是 否 添 加 所 需 的 角色 服务 和 功 
能 , 单 击 “ 添 加 必需 的 角色 服务 ”按钮 即 可 。 

(2) 连续 单 击 “ 下 一 步 ” 按 钮 ,显示 “选择 角色 服务 ”对 话 框 。 如 果 选 中 “联合 身份 验证 支 
持 ” 复 选 框 ,将 同时 安装 AD FS 或 与 当前 域 中 已 有 的 AD FS 关联 使 用 , 它 允 许 用 户 使 用 当 
前 域 和 其 他 域 之 间 经 过 联合 身份 验证 的 信任 关系 来 建立 用 户 标识 ,以 及 提供 对 其 他 组 织 创 
建 的 受 保护 信息 的 访问 权限 。 单 击 * 下 一 步 按 钮 ,显示 如 图 4-2 所 示 的 “创建 或 加 入 AD 
RMS 群集 ?对 话 框 。 系 统 默认 选中 “新建 AD RMS 群集 ” 单 选 按钮 。 安 装 完成 后 创建 的 第 
一 台 AD RMS 服务 器 即 为 根 群 集 , 后 来 加 入 的 AD RMS 服务 器 为 叶 服务 器 。 

(3) 单 击 “下 一 步 ? 按 钮 ,显示 如 图 4-3 所 示 的 “选择 配置 数据 库 ? 对 话 框 。 如 果 网 络 中 
安装 有 SQL Server 服务 器 ,可 选中 “使 用 其 他 数据 库 服 务 器 ” 单 选 按钮 ; 如 果 要 使 用 AD 
RMS 自 带 的 数据 库 ,选中 “在 此 服务 器 上 使 用 Windows 内 部 数据 库 ? 单 选 按钮 即 可 。 

注意 : 选择 支持 AD RMS 群集 的 专用 数据 库 时 应 注意 记录 其 数据 库 实例 ,其 他 AD 
RMS 服务 器 加 入 群集 时 也 必须 指定 相同 的 实例 名 称 。 
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图 4-1 “选择 服务 器 角色 ”对 话 框 
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4-2 “创建 或 加 入 AD RMS 群集 ”对话 框 


(4) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 4-4 所 示 的 “指定 服务 账户 ”对 话 框 。 该 服务 账户 也 
就 是 将 来 要 在 AD RMS 群集 中 使 用 的 账户 ,可 使 用 普通 域 成 员 账 户 , 但 必须 区 别 于 当前 服 
务 器 登录 的 域 用 户 账户 。 单 击 “ 指 定 ” 按 钮 ,显示 “Windows 安全 ”对 话 框 ,输入 域 用 户 账 户 。 
单 击 “ 确 定 ” 按 钮 , 域 控制 器 会 对 提交 的 用 户 账户 和 密码 进行 验证 ,如 果 正 确 无 误 则 返回 “ 指 
定 服务 账户 ”对 话 框 。 

(5) 单 击 “ 下 一 步 ” 按 钮 ,显示 “配置 AD RMS 群集 键 存储 ”对 话 框 。 系 统 默认 选中 “使 
用 AD RMS 集中 管理 的 密 钥 存储 ” 单 选 按钮 , 即 由 本 地 服务 器 自动 生成 并 存储 密 钥 , 这 里 选 
中 该 项 ,该 密 钥 主要 用 于 当前 根 服务 器 以 及 将 来 叶 服 务 器 的 灾难 恢复 ,必须 牢记 。 选 中 “使 
用 CSP 密 钥 存 储 ” 单 选 按钮 , 则 需要 由 专用 加 密 服 务 器 产生 并 保管 该 密 钥 ,比较 烦琐 ,但 安 
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图 4-4 “指定 服务 账户 ”对 话 框 


全 性 也 相对 较 高 。 单 击 * 下 一 步 ?按钮 ,显示 如 图 4-5 所 示 的 “指定 AD RMS 群集 密 钥 密 码 ” 
对 话 框 ,其 他 AD RMS 服务 器 加 入 群集 时 也 要 使 用 此 密码 ,必须 妥善 保存 。 

(6) 单 击 “ 下 一 步 ”按钮 ,显示 “选择 AD RMS 群集 网 站 ”对 话 框 , 即 管理 AD RMS 群集 
服务 器 时 使 用 的 站 点 ,保持 默认 即 可 。 单 击 * 下 一 步 ? 按 钮 ,显示 如 图 4-6 所 示 的 “指定 群集 
地 址 ?对 话 框 。 群 集 地 址 可 以 使 AD RMS 客户 端 通过 网 络 与 群集 通信 。 选 中 “使 用 未 加 密 
的 连接 " 单 选 按钮 , 则 使 用 普通 传输 方式 ,输入 域名 ,并 单 击 “ 验 证 ”按钮 ,确认 不 与 其 他 站 点 
冲突 。 

注意 : 自 定义 端口 也 可 以 提升 网 络 连 接 的 安全 性 ,不 过 ,客户 端 访问 时 也 必须 使 用 相同 
的 端口 。 

提示 : 如 果 选 中 “使 用 SSL 加 密 的 连接 ” 单 选 按钮 , 则 还 需要 选择 希望 用 于 SSL 加 密 的 
数字 证 书 , 可 以 来 自 网 络 中 的 CA, 也 可 以 使 用 自 签名 证 书 , 这 里 不 作 详细 介绍 。 
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图 4-6 “指定 群集 地 址 ”对 话 框 


(7) 单 击 “ 下 一 步 ” 按 钮 ,显示 “命名 服务 器 许可 方 证 书 ” 对 话 框 ,该 对 话 框 与 上 述 选中 的 

“使 用 SSL 加 密 的 连接 (https://)” 单 选 按钮 是 对 应 的 ,系统 默认 会 以 计算 机 名 命名 证 书 , 保 
持 默认 即 可 。 单 击 “ 下 一 步 ? 按 钮 ,显示 如 图 4-7 所 示 的 “注册 AD RMS 服务 连接 点 ”对 话 
框 。 选 中 “立即 注册 AD RMS 服务 连接 点 " 单 选 按钮 ,在 安装 完成 后 即 可 使 用 此 AD RMS 
群集 。 


(8) 单 击 “ 下 一 步 "按钮 ,将 显示 IIS 的 安装 对 话 框 。 这 里 不 再 袭 述 。 在 “确认 安装 选择 ”对 
话 框 中 ,显示 了 要 安装 的 组 件 信 息 。 单 击 * 安 装 ?按钮 即 可 开始 安装 。 完 成 后 显示 如 图 4-8 
所 示 的 “安装 结果 ”对 话 框 ,提示 安装 成 功 。 


(9) 单 击 “ 关 闭 ” 按 钮 ,退出 安装 向 导 。 根 据 提示 信息 ,注销 当前 系统 并 重新 登录 。 
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图 4-7 “注册 AD RMS 服务 连接 点 ”对 话 框 


图 4-8 “安装 结果 ”对 话 框 
4.2.2 配置 信任 策略 


依次 选择 “开始 ”>“ 管 理工 具 ”->Active Directory Rights Management Services 选项 ， 


启动 AD RMS 控制 台 。 如 果 选 择 SSL 加 密 连 接 的 方式 , 则 在 此 过 程 中 可 能 会 出 现 “ 安 全 和 警 
报 ” 提 示 框 ,直接 单 击 “ 是 ”按钮 跳 过 即 可 。 信 任 策略 是 不 同 AD RMS 群集 或 不 同 域 林 中 的 
AD RMS 服务 器 之 间 建 立信 任 关 系 的 唯一 标准 ,主要 包括 “受信 任 的 用 户 域 " 和 “受信 任 的 
发 布 域 ”。 

1. 受信 任 的 用 户 域 


默认 情况 下 ,只 有 受信 任 的 用 户 域 才 可 以 使 用 当前 AD RMS 服务 器 提供 的 权限 保护 服 
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务 , 不 同 AD RMS 群集 或 不 同 林 中 的 RMS 服务 器 都 是 通过 彼此 的 许可 证 书 识别 的 。 用 户 
可 以 通过 将 其 他 AD RMS 群集 中 的 信任 用 户 域 导出 ,并 添加 至 本 地 服务 器 中 ,来 实现 对 其 
他 用 户 提 供 权限 管理 服务 。 导 出 的 信任 用 户 域 文件 中 会 包括 原 AD RMS 服务 器 的 许可 证 
信息 ,因此 建立 信任 关系 后 ,来 自 该 域 的 用 户 就 可 以 使 用 当前 AD RMS 服务 器 提供 的 使 用 
许可 证 。 

(1) 在 AD RMS 控制 台 窗 口中 ,依次 选择 “信任 策略 ”>“ 受 信任 的 用 户 域 ” 选 项 ,显示 
如 图 4-9 所 示 的 “受信 任 的 用 户 域 "窗口 。 在 “受信 任 的 用 户 域 信息 ”列表 中 默认 显示 的 是 本 
地 用 户 域 , 右 击 并 选择 快捷 菜单 中 的 “属性 ”选项 即 可 查看 其 详细 信息 。 
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图 4-9 受信 任 的 用 户 域 


(2) 在 右 侧 的 “操作 ?列表 中 , 单 击 * 导 入 受信 任 的 用 户 域 ?链接 ,显示 如 图 4-10 所 示 的 
“导入 受信 任 的 用 户 域 文件 ”对话 框 ,在 * 受 信任 的 用 户 域 文件 ”文本 框 中 输入 文件 的 保存 路 
径 ,或 单 击 * 浏 览 ?按钮 选择 ; 在 “显示 名 称 ” 文 本 框 中 ,输入 该 用 户 将 在 列表 中 显示 的 名 称 ， 
用 来 进行 标识 。 
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4-10 “导入 受信 任 的 用 户 域 文件 ”对 话 框 
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(3) 单 击 “完成 "按钮 , 即 可 完成 用 于 域 的 添加 。 重 复 操作 , 可 添加 多 个 受信 任 的 用 
户 域 。 

提示 : 在 “受信 任 的 用 户 域 信息 ?列表 中 , 右 击 域 并 选择 快捷 菜单 中 的 “导出 受信 任 的 用 
户 域 ” 选 项 ,还 可 以 将 其 导出 ,以 备 本 地 恢复 使 用 ,也 可 以 导入 到 其 他 AD RMS 群集 中 ,用 于 
接受 其 他 AD RMS 服务 器 的 权限 许可 证 。 

2. 受信 任 的 发 布 域 

在 AD RMS 控制 台 窗 口中 , 单 击 “ 受 信任 的 发 布 域 ”, 显 示 如 图 4-11 所 示 的 “受信 任 的 
发 布 域 ”对 话 框 。 
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图 4-11 “受信 任 的 发 布 域 " 对 话 框 


受信 任 的 发 布 域 用 于 定义 那些 AD RMS 群集 发 布 的 许可 证 受到 此 群集 的 信任 ,与 受信 
任 的 用 户 域 恰恰 相反 ,列表 中 默认 存在 的 是 本 地 服务 器 的 记录 。 受 信任 的 发 布 域 文件 的 导 
出 和 导入 与 受信 任 的 用 户 域 文件 类 似 ,不 同 的 是 发 布 域 文 件 的 类 型 为 . xml, 其 中 包括 将 要 
信任 的 AD RMS 服务 器 许可 方 证 书 ,群集 密 钥 和 模板 等 信息 。 另 外 ,发 布 域 文件 本 身 是 受 
密码 保护 的 ,导入 时 必须 输入 原 AD RMS 服务 器 上 使 用 的 存储 密码 。 


4.2.3 配置 权限 策略 模板 


1. 创建 权限 策略 模板 

机 密 程 度 不 同 的 文档 发 布 到 客户 端 后 设置 的 权限 也 有 所 不 同 , 此 时 就 需要 为 该 文档 应 
用 不 同 级 别 权限 的 策略 模板 。 权 限 策略 模板 是 为 定义 用 户 的 权限 策略 用 的 ,管理 员 可 以 通 
过 定制 一 些 现成 的 策略 模板 让 企业 用 户 直接 调用 。 

(1) 在 AD RMS 控制 台 和 窗口 中, 单 击 “ 权 限 策略 模板 ”显示 “分 布 式 权限 策略 模板 ” 窗 
口 。 单 击 “ 操 作 ” 列 表 中 的 “创建 分 布 式 权限 策略 模板 ”链接 ,启动 创建 向 导 , 单 击 “ 添 加 ” 按 
钮 ,显示 如 图 4-12 所 示 的 “添加 新 的 模板 标识 信息 ”对 话 框 。 在“ 名称” 文本 框 中 输入 新 建 模 
板 的 名 称 ,“ 描 述 "文本 框 中 输入 相关 描述 信息 。 单 击 “ 添 加 ”按钮 ,将 其 添加 至 “模板 标识 ” 列 
中 
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图 4-12 “添加 新 的 模板 标识 信息 ”对 话 框 


提示 :“ 语 言 " 下 拉 列 表 框 是 专 为 使 用 不 同 语言 的 客户 端 设置 的 ,如 果 客 户 端 只 支持 英 
文 显示 , 则 可 以 在 “添加 模板 标识 信息 ”对 话 框 中 再 次 单 击 “ 添 加 ”按钮 ,并 选择 “英文 ”语言 即 
可 。 需 要 注意 的 是 ,要 想 使 选择 的 语言 生效 ,必须 先 在 服务 器 上 安装 该 语言 。 

(2) 单 击 “ 下 一 步 "按钮 ,显示 “添加 用 户 权 限 ” 对 话 框 ,默认 情况 下 * 用 户 和 权限 ”列表 是 
空 的 , 即 只 “授予 所 有 者 (作者 ) 不 会 过 期 的 完全 控制 权限 ”。 单 击 “ 添 加 ”按钮 ,显示 “添加 用 
户 或 组 ”对 话 框 。 选 中 “用 户 或 组 的 电子 邮件 地 址 ” 单 选 按 钮 , 即 可 在 下 面 的 文本 框 中 输入 用 
户 对 应 电子 邮件 地 址 。 如 果 选 中 “任何 人 ” 单 选 按钮 , 则 对 当前 域 中 的 所 有 用 户 账户 有 效 ,如 


图 4-13 所 示 。 
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图 4-13 “添加 用 户 权限 ?对 话 框 


注意 : 如 果 要 添加 用 户 , 应 事先 在 域 控制 器 上 ,打开 用 户 属性 对 话 框 ,为 用 户 添加 电子 
邮件 地 址 。 同 样 , 如 果 要 添加 用 户 组 ,也 要 打开 用 户 组 属性 ,添加 电子 邮件 地 址 。 

(3) 单 击 “ 确 定 ” 按 钮 ,将 所 选用 户 添加 至 列表 中 ,如 图 4-14 所 示 。 重 复 操作 ,可 添加 多 
个 用 户 或 组 的 电子 邮件 地 址 。 然 后 ,在 “用 户 和 权限 ”列表 中 ,选择 赋予 用 户 的 权限 ,例如 ,要 
求 做 到 “禁止 复制 ”, 则 只 选中 “查看 权限 " 复 选 框 即 可 。 

“权限 请 求 URL” 是 当 模 板 赋予 用 户 的 权限 无 法 完成 相应 工作 ,或 在 模板 权限 规定 的 时 
间 和 日 期 内 没有 完成 工作 时 ,用 户 可 以 通过 此 URL 继续 向 管理 员 发 出 权限 请 求 ,以 再 次 获 
得 权限 或 附加 权限 。 

注意 : 权限 列表 中 给 出 的 所 有 权限 都 是 允许 的 , 即 只 要 选择 菜 项 ,就 表示 要 赋予 用 户 具 
有 相应 的 权限 。 
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图 4-14 指定 用 户 权 限 


(4) 单 击 * 下 一 步 按 钮 ,显示 如 图 4-15 所 示 的 “指定 过 期 策略 ”对 话 框 。 在 “内 容 有 效 
期 限 ? 选 项 区 域 中 ,可 以 定义 当前 模板 中 的 权限 信息 何 时 过 期 或 有 效 期 限 等 ,默认 为 “ 永 不 过 
期 *。 内 容 过 期 后 ,如 果 仍 需要 使 用 该 策略 信息 , 则 必须 重新 发 布 一 次 。 
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图 4-15 “指定 过 期 策略 ”对 话 框 


(5) 单 击 “ 下 一 步 ” 按 钮 ,显示 “指定 扩展 策略 ”对 话 框 ,保留 默认 设置 即 可 。 单 击 “ 下 一 
步 ” 按 钮 ,显示 如 图 4-16 所 示 的 “指定 吊销 策略 ”对 话 框 。 吊 销 是 AD RMS 的 一 项 重要 功 
能 ,实施 吊销 之 前 必须 先 手动 创建 一 个 吊销 列表 ,并 为 每 个 吊销 列表 生成 一 个 公 钥 / 私 钥 对 ， 
然后 使 用 私 钥 签署 吊销 列表 ; 另外 ,还 必须 为 吊销 列表 指定 一 个 用 户 可 以 访问 的 URL 地 址 
或 UNC 路 径 。 通 常情 况 下 ,不 需要 AD RMS 服务 器 吊销 , 即 不 选中 该 复 选 框 。 

(6) 单 击 “ 完 成 ”按钮 ,退出 创建 向 导 , 返 回 “ 权 限 策略 模板 ”窗口 ,如 图 4-17 所 示 。 新 创 
建 的 模板 已 经 出 现在 列表 中 ,此 时 虽然 已 经 创建 成 功 ,但 并 不 能 立即 应 用 。 

(7) 选择 新 创建 的 策略 模板 , 右 击 并 选择 快捷 菜单 中 的 “存档 此 分 布 式 权限 策略 模板 ” 
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图 4-16 “指定 吊销 策略 ?对话 框 
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4-17 权限 策略 模板 创建 成 功 


选项 ,将 其 本 地 存档 ,显示 “存档 权限 策略 模板 ”对 话 框 。 提 示 一 旦 保存 后 ,将 不 能 再 分 发 或 
导出 该 模板 。 单 击 “ 是 ”按钮 保存 即 可 。 至 此 ,新 创建 的 权限 策略 模板 才 可 以 保存 到 本 地 模 
板 库 中 备用 。 

返回 “分 布 式 权限 策略 模板 "窗口 , 单 击 “ 管 理 存 档 的 权限 策略 模板 ”链接 ,所 有 已 存档 的 
策略 模板 即 可 显示 在 “分 布 式 权限 策略 模板 ”列表 框 中 ,管理 员 可 以 继续 修改 和 查看 其 各 项 
属性 信息 。 图 4-18 所 示 是 新 建 策略 模板 的 权限 摘要 。 

2. 分 发 权限 策略 模板 

客户 端 必须 将 服务 器 上 创建 的 权限 策略 模板 保存 到 本 地 计算 机 才 可 以 使 用 ,可 以 通过 
文件 共享 、 网 络 传输 、 移 动 存储 介质 等 方式 获得 。 默 认 情 况 下 ,权限 策略 模板 的 保存 位 置 为 
“未 设置 >。 为 了 便于 保存 和 用 户 使 用 ,应 在 群集 中 指定 一 个 公共 文件 夹 ,用 于 保存 所 有 的 策 
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4-18 用 户 权限 摘要 


略 模板 。 

(1) 在 “权限 策略 模板 ”窗口 中 , 单 击 “ 操 作 ” 列 表 中 的 “管理 分 布 式 权限 策略 模板 ”链接 ， 
在 “分 布 式 权 限 策略 模板 ”窗口 下 方 单 击 “ 更 改 分 布 式 权限 策略 模板 文件 位 置 "链接 ,打开 如 
图 4-19 所 示 的 “权限 策略 模板 ”对 话 框 。 

(2) 选中 “启用 导出 ” 复 选 框 ,在 “指定 模板 文件 位 置 (UNC) ”文本 框 中 输入 已 经 设置 好 
的 共享 文件 夹 路 径 , 如 图 4-20 所 示 。 注 意 ,这 里 必须 使 用 UNC 格式 ,并 且 确 定 已 经 为 指定 
用 户 账户 赋予 了 写 入 权限 。 


权限 这 四 模板 划 | 权限 流风 要 要 A 
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图 4-19 “权限 策略 模板 ”对 话 框 图 4-20 设置 共享 文件 夹 路 径 


(3) 设置 完成 后 单 击 “ 确 定 ” 按 钮 。 然 后 , 单 击 “ 管 理 存 档 的 权限 策略 模板 ”链接 ,选择 想 
要 分 发 的 模板 , 右 击 并 选择 快捷 菜单 中 的 “分 发 此 权限 策略 模板 ”选项 ,显示 “分 发 权限 策略 
模板 ”对 话 框 。 提 示 分 发 之 后 ,用 户 便 可 以 使 用 此 模板 发 布 新 内 容 。 单 击 “ 是 ”按钮 确认 
即 可 。 

提示 : 如 果 模 板 是 从 另 一 台 RMS 服务 器 迁移 到 此 RMS 服务 器 ,在 使 用 该 模板 之 前 ， 
必须 由 此 服务 器 签署 ,然后 重新 分 发 到 客户 端 。 


4.2.4 AD RMS 客户 端 部 署 及 应 用 


AD RMS 客户 端 安 装 过 程 非常 简单 ,此 处 不 作 详 细 介 绍 。 需 要 注意 的 是 ,更 换 登 录 的 
域 用 户 账户 后 ,应 重新 运行 客户 端 安装 向 导 ,并 选中 “修复 带 Service Pack 2 的 Windows 
Rights Management 客户 端 " 单 选 按钮 。 客 户 端 需要 将 服务 器 上 创建 并 保存 的 权限 策略 模 
板 复制 到 客户 端 计 算 机 上 才 可 以 使 用 ,另外 还 需要 在 注册 表 中 做 相应 修改 。 

(1) 通过 网 络 共享 或 移动 存储 设备 ,将 AD RMS 服务 器 上 存储 的 权限 策略 模板 ,复制 
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到 本 地 计算 机 上 。 打 开 * 注 册 表 编辑 器 ”窗口 ,并 依次 展开 如 下 分 支 ; 
HKEY_CURRENT_USER\Software\ Microsoft\Office\11.0\Common\DRM 


在 右 侧 窗口 空白 处 有 击 ,依次 选择 “新 名 = 
建 ”>“ 字 符 串 值 ” 选 项 ,新 建 一 个 字符 申 值 ”Pe 
项 目 。 将 新 创建 的 字符 串 值 命名 为 用 
AdminTemplatePath, 然 后 双击 该 对 象 或 右 
击 再 选择 “修改 ”选项 打开 如 图 4-21 所 示 的 
“编辑 字符 串 ” 对 话 框 ,指定 该 对 象 的 数值 数 
据 为 本 地 计算 机 上 保存 要 应 用 的 权限 策略 
模板 的 路 径 。 这 里 ,将 要 保存 在 下 盘 根 目录 
下 ,因此 ,输入 e:\ 即 可 。 TI 

(2) 单 击 “确定 ”按钮 ,保存 设置 并 关闭 
“注册 表 编 辑 器 ”窗口 。 打 开 欲 应 用 此 策略 
模板 的 受 保护 文档 ,打开 “文件 ”菜单 中 的 “权限 ”选项 ,此 时 ,会 发 现 级 联 菜单 中 多 出 了 一 个 
可 选项 , 即 “ 禁 止 拷 贝 ”, 如 图 4-22 所 示 。 
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图 4-21 “编辑 字符 串 ” 对 话 框 


图 4-22 添加 成 功 


(3) 选 定 相应 策略 模板 后 ,共享 工作 区 中 会 显示 “ 受 限 权 限 ” 等 信息 。 授 权 人 信息 默认 
是 本 地 登录 账户 ,当然 ,管理 员 也 可 以 在 建立 到 服务 器 的 连接 时 指定 为 其 他 用 户 , 或 直接 单 
击 “ 更 改 用 户 ” 链 接 随 时 更 改 。 本 例 是 lhn@ coolpen. net( 所 用 模板 针对 的 用 户 为 tjl@ 
coolpen. net)。 单 击 共享 工作 区 中 的 “更 改 权 限 ” 链 接 , 可 以 查看 当前 用 户 账户 对 该 文档 拥 
有 的 控制 权限 ,显示 如 图 4-23 所 示 对 话 框 。 由 于 目前 登录 用 户 是 该 文档 的 创建 者 ,在 RMS 
配置 该 权限 策略 模板 时 ,为 文档 作者 赋予 了 完全 控制 的 权限 , 即 所 有 权限 的 状态 都 是 “是 ”。 

部 署 Windows Vista 系统 的 AD RMS 客户 端 更 加 容易 。 由 于 默认 情况 下 ,系统 已 经 集 
成 RMS 客户 端 功 能 ,因此 只 须 指定 权限 策略 模板 的 路 径 。 打 开 欲 应 用 此 策略 模板 的 受 保 
护 文档 (以 Office Word 2007 为 例 ) , 单 击 Office 按钮 ,并 依次 选择 “准备 ”>“ 限 制 权 限 ” 选 项 ， 
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图 4-23 ”当前 用 户 权限 


此 时 ,会 发 现 级 联 菜 单 中 多 出 了 一 个 可 选项 , 即 “ 禁 止 复制 ”, 如 图 4-24 所 示 。 
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图 4-24 成 功 添加 策略 模板 


4.2.5 受 限 客户 端 应 用 被 保护 文档 
AD RMS 策略 模板 主要 是 为 了 限制 某 些 客户 端 针对 文档 享有 的 权限 ,因此 当 这 些 受 限 


客户 端 应 用 被 保护 文档 时 ,必须 连接 到 AD RMS 
可 证 才 可 以 打开 。 这 里 , 仍 以 上 述 应 用 为 例 进 
行 介 绍 。 

(1) 当 用 户 ljhn@coolpen. net 创建 好 的 文 
档 , 应 用 了 限制 用 户 jl@ coolpen. net 复制 和 
更 改 的 权限 。 那 么 , 当 用 户 tj1@ coolpen. net 
拿 到 文档 并 查看 时 ,会 显示 如 图 4-25 所 示 的 


服务 器 进行 凭据 验证 ,并 下 载 相应 权限 许 
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图 4-25 受 限 用 户 打开 被 保护 文档 
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提示 框 。 
(2) 单 击 “ 确 定 ” 按 钮 ,客户 端 开始 向 AD RMS 服务 器 提交 身份 验证 ,并 获得 相应 的 权 
限 , 最 终 打 开 文 档 ,显示 如 图 4-26 所 示 的 窗口 。 不 过 此 时 ,文档 是 “只 读 ” 状 态 , 并 且 不 允许 
用 户 执行 “复制 "命令 ,或 按 Print Screen 键 抓 取 屏幕 ,这 是 因为 当前 被 保护 文档 应 用 的 权限 


策略 模板 已 经 屏 项 了 Windows 的 这 些 功 能 ,关闭 受 保护 文档 则 一 切 恢复 正常 ,用 户 使 用 时 
应 注意 。 


只 许 查看 ， 不 计划 - 


图 4-26 文档 处 于 “只 读 ” 状 态 


(3) 单 击 “查看 我 的 权限 ”链接 ,打开 如 图 4-27 所 示 的 “我 的 权限 ”对 话 框 ,其 中 只 有 “ 查 
看 ”一 项 处 于 “是 ”状态 ,其 他 均 为 “ 否 ”"。 如 果 当 前 用 户 权 限 无 法 完成 操作 ,可 以 单 击 “ 更 改 用 
户 ” 按 钮 ,使 用 其 他 被 赋予 更 高 操作 权限 的 用 户 账户 登录 。 

单 击 “ 请 求 附加 权限 ”链接 ,向 AD RMS 服务 器 申请 相关 权限 ,打开 如 图 4-28 所 示 的 窗 


口 。“ 收 件 人 "文本 框 中 就 是 AD RMS 服务 器 上 设 定 的 接收 申请 的 电子 邮件 地 址 ,保持 默认 
即 可 。 根 据 自己 的 实际 需要 ,说 明 想 要 请 求 的 权限 即 可 。 
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图 4-27 “我 的 权限 ”对 话 框 图 4-28 申请 附加 权限 
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提示 : 需要 应 用 此 功能 时 ,必须 先 在 网 络 中 配置 Exchange 或 其 他 邮件 服务 器 。 虽 然 在 
AD RMS 系统 中 用 到 E-mail 地 址 的 地 方 非常 多 ,但 是 多 数 情况 下 是 作为 一 种 用 户 标识 ,并 
非 真正 地 用 来 传递 信息 ,所 以 网 络 中 邮件 服务 器 也 就 可 有 可 无 。 如 果 确 实 需要 传递 信息 , 则 
必须 搭建 邮件 服务 器 。 


4.2.6 知识 链接 : AD RMS 


1. AD RMS 服务 器 

相对 于 先前 的 RMS 而 言 ,AD RMS 不 再 是 一 个 独立 服务 插件 ,已 经 成 为 Windows 的 
一 项 内 建功 能 ,并 且 包含 了 某 些 升 级 功能 ,可 以 直接 在 管理 服务 器 窗口 中 启动 安装 向 导 即 可 
轻松 安装 。 为 了 确保 安装 过 程 可 以 顺利 进行 ,开始 之 前 应 做 好 如 下 准备 工作 。 

(1) 将 计算 机 加 入 到 域 ,或 者 提升 为 域 的 额外 域 控制 器 ,或 者 子 域 。 

(2) 使 用 具有 域 用 户 账户 登录 ,但 不 能 使 用 Administrator 账户 登录 。 

(3) 安装 IIS 服务 和 ASP. NET 组 件 。 

(4) 安装 MSMQ( 消 息 队 列 ) 服 务 。 

(5) 选择 数据 库 。 如 果 要 使 用 独立 数据 库 , 需 安装 SQL Server。 否 则 ,可 使 用 AD RMS 的 
自 带 数据 库 。 

(6) 安装 之 前 ,确认 http://uddi. microsoft. com 和 https://uddi. microsoft. com 在 Internet 
Explorer 中 被 添加 至 “受信 任 的 站 点 ”或 “本 地 Internet”。 

2. AD RMS 客户 端 

AD RMS 服务 安装 并 配置 完成 以 后 , 即 可 将 需要 接受 AD RMS 管理 的 客户 端 加 入 域 ， 
并 部 署 AD RMS 客户 端 。 在 Windows Vista 系统 中 ,RMS 客户 端的 名 称 已 更 改 为 Active 
Directory 权限 管理 服务 (AD RMS) 客 户 端 ,并 且 已 集成 到 操作 系统 中 ,因此 不 需要 独立 的 
安装 。 在 早 于 Windows Vista 的 Windows 操作 系统 版 本 中 ,RMS 客户 端 组 件 仍 需要 独立 
下 载 和 安装 。 目 前 最 新 版 本 为 SP2 简体 中 文 版 下 载 地 址 为 : 

http://www. microsoft. com/downloads/details. aspx? displaylang = zh-cn&FamilyID = 02da5107- 

2919-414b-a5a3-3102c7447838 

提示 : 管理 员 还 可 以 通过 组 策略 .SMS、SCCM 等 方式 来 向 客户 端 统一 分 发 客户 端 安装 
程序 。 如 果 客 户 端 数量 较 少 , 则 可 以 通过 手动 安装 的 方式 实现 。 


4.3 信息 权限 管理 


信息 权限 管理 (Information Rights Management, IRM) 是 Windows 权限 管理 服务 
(RMS) 在 Office 应 用 程序 和 Internet Explorer 中 的 扩展 (通过 一 个 免费 的 加 载 项 ) ,可 以 有 
效 地 保护 机 密 文件 的 内 容 , 即 使 未 被 授权 的 用 户 得 到 文档 ,也 无 法 打开 文件 。IRM 的 授权 
是 通过 Microsoft . NET Passport 来 实现 的 ,需要 Internet 支持 。 只 要 具备 有 效 的 Hotmail 
或 MSN 邮箱 即 可 获得 一 个 Passport 账户 。IRM 可 以 保护 Word、Excel、PowerPoint 等 
Office 文档 ,只 有 Microsoft Office 2003/2007 用 户 才 可 以 使 用 IRM 保护 文档 安全 。 


4.3.1 创建 被 保护 的 安全 文档 
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IRM 的 应 用 与 RMS 客户 端 类 似 , 只 需 为 需要 保密 的 文档 设置 权限 保护 即 可 。 以 
Windows Vista 系统 中 Microsoft Office Word 2007 为 例 ,操作 步 又 如 下 。 

(1) 打开 需要 添加 权限 保护 的 文档 , 单 击 Office 按钮 ,依次 选择 “准备 ”>“ 限 制 权限 ”一 
“限制 访问 ”选项 ,显示 “服务 注册 ”对 话 框 。 选 中 “是 ,我 希望 注册 使 用 Microsoft 的 这 一 免 
费 试用 服务 " 单 选 按钮 。 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 4-29 所 示 的 “欢迎 使 用 Windows RM 
账户 证 书 向 导 ” 对 话 框 ,选中 “是 ,我 有 . NET Passport” 单 选 按钮 。 如 果 没 有 . NET Passport 
账户 , 则 可 以 选中 “ 否 , 我 没有 . NET Passport, 我 要 立即 注册 . NET Passport” 单 选 按钮 注册 
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(2) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 4-30 所 示 的 “登录 到 . NET Passport” 对 话 框 ,在 “ 电 


子 邮件 地 址 ”和 “密码 ”文本 框 中 ,输入 有 效 的 
Hotmail 或 MSN 账户 信息 。 选 中 “自动 登录 ” 
复 选 框 , 则 再 次 使 用 该 . NET Passport 账户 创 
建安 全 文档 时 ,不 必 输 入 用 户 信息 。 

(3) 单 击 “ 登 录 ” 按 钮 ,显示 “选择 证 书 类 
型 ”对话 框 ,选中 “标准 ” 单 选 按钮 。 单 击 “ 下 一 
步 " 按 钮 ,开始 登录 微软 Windows RM 证 书 服 
务 器 , 显示 如 图 4-31 所 示 的 “正在 完成 
Windows RM 账户 证 书 向 导 ” 对 话 框 ,提示 已 
成 功 下 载 RM 账户 证 书 。 

(4) 单 击 “ 完 成 ”按钮 ,显示 如 图 4-32 所 示 
的 “权限 ”对 话 框 ,选中 “限制 对 此 文档 的 权限 ” 


Windows 积 限 管 理 [ee 


重 录 到 JET Passport 局 
证 入 Mooeoht NET Paszport 、 MG 电子 创作 可 户 或 vowral 电子 起 记 站 了 | 件 地 址 虱 
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图 4-30 “登录 到 . NET Passport” 对 话 框 
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选择 证 书 类 型 


您 可 以 下 载 标准 或 人 时 RM 帐户 汪 书 * 


济 正在 完成 windows RM 贝 户 证 书 向 导 


局 ， 

read 已 成 b 下 载 RM 由 户 证 书 。 局 E 
| 
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询问 所 忆 村 一 个 标量 Rv 炭 户 下 书 下 载 下 +- 其 机 * 如 果 产 记 在 证 书 过 册 后 继续 88 建 、 查 看 和 使 
用 受 限制 内 雁 ， 侈 必须 更 新 让 下 书 。 
总 当前 已 作为 | 
下 载 能 户 | 入 多 i 计 基 机 上 丰 载 标准 ao 
助 "。 Ea RET 


本 助 | 哈 夫 


车 要 关闭 询问 导 ， 请 单 击 "完成 ”， 


要 助 | 隘 取 革 要 


上 
图 4-31 “正在 完成 Windows RM 账户 证 书 向 导 ” 对 话 框 


复 选 框 ,在 “ 读 取 ” 和 “更 改 ” 文 本 框 中 ,输入 想 要 授予 相应 权限 的 . NET Passport 账户 即 可 ， 
多 个 账户 之 间 需 要 使 用 分 号 (;) 分 隔 。 如 果 曾 经 保存 过 通讯 秒 , 则 可 以 单 击 “ 读 取 ” 和 "更改 ” 
按钮 ,从 通讯 簿 中 选择 用 户 账户 。 

单 击 “ 其 他 选项 ”按钮 ,显示 如 图 4-33 所 示 的 “权限 ”对 话 框 ,这 里 包括 修改 用 户 访问 级 
别 文档 到 期 日 期 ,请求 权 限 地 址 等 选项 。 选 中 * 此 文档 的 到 期 日 期 为 ” 复 选 框 , 可 以 设置 被 
保护 文档 的 到 期 日 期 ,过 期 之 后 , 除 文档 创建 者 之 外 的 任何 用 户 ,都 无 法 使 用 该 文档 。 默 认 
情况 下 ,已 经 选中 “用 户 可 以 从 此 请 求 附加 权限 ” 复 选 框 ,并 输入 文档 创建 者 的 . NET 
Passport 账户 , 即 未 被 授权 用 户 可 以 通过 发 送 请 求 ,得 到 所 需 的 访问 权限 。 
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图 4-32 “权限 ”对 话 框 (1) 图 4-33 “权限 ”对 话 框 (2) 


(5) 单 击 “ 确 定 ” 按 钮 ,完成 权限 设置 ,如 图 4-34 所 示 。 此 时 ,文档 上 方 工具 栏 中 ,将 显 
示 此 文档 已 设置 限制 访问 ,只 有 指定 用 户 才 可 以 访问 此 内 容 。 单 击 “ 更 改 权 限 ” 按 钮 ,可 以 立 
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图 4-34 设置 “限制 访问 "的 文档 
即 修改 权限 设置 。 
4.3.2 打开 被 保护 文档 


用 户 打 开 被 保护 文档 时 ,系统 将 要 求 登录 . NET Passport 账户 ,从 Windows RM 证 书 
服务 器 获取 用 户 账户 证 书 ,根据 文档 的 权限 设置 ,用 户 即 可 获得 相应 的 访问 权限 。 

(1) 用 户 打 开 受 保护 文档 时 ,显示 Microsoft Office Word 对 话 框 。 单 击 “ 是 ”按钮 ,使 用 
有 效 的 Hotmail 或 MSN 电子 邮箱 地 址 登录 Windows RM 证 书 服务 器 ,申请 用 户 账户 证 书 
即 可 。 此 过 程 与 创建 受 保护 文档 完全 相同 ,这 里 不 再 袭 述 。 获 得 证 书后 ,显示 如 图 4-35 所 示 
的 Microsoft Office 对 话 框 ,提示 “此 文档 的 权限 当前 已 被 限制 ”。 


| 


EE = 和 | 
【> 
CE | 


Microsoft Office 


此 文档 的 可 限 当 前 已 被 限制 。 Microsoft 0ffics https 
ee. 


图 4-35 ”Microsoft Office 对 话 框 


(2) 单 击 “ 确 定 ” 按 钮 ,Microsoft RM 服务 器 即 可 根据 账户 信息 授予 其 相应 访问 权限 。 
例如 ,当前 登录 账户 的 权限 为 “只 读 ”, 则 打开 文档 后 显示 如 图 4-36 所 示 的 窗口 ,所 有 选项 均 


为 不 可 用 状态 。 
4.3.3 请 求 权 限 


如 果 被 保护 文档 的 限制 权限 中 ,允许 用 户 通过 向 所 有 者 或 具有 完全 控制 权限 的 用 户 发 
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图 4-36 ”打开 被 保护 的 文档 


送 电子 邮件 ,请 求 所 需 权 限 , 则 未 被 授权 用 户 也 可 以 通过 该 方式 ,获得 被 保护 文档 的 相关 
权限 。 

未 被 授权 用 户 打开 被 保护 文档 时 ,同样 需要 提供 有 效 的 . NET Passport 账户 ,申请 
Windows RM 证 书 。 完 成 后 ,显示 如 图 4-37 所 示 的 Microsoft Office Word 对 话 框 。 提 示 ， 


当前 用 户 没有 打开 文档 的 凭据 。 单 击 "是 "按钮 , 启 panies 3 
动 电子 邮件 发 送 程序 ,以 电子 邮件 的 形式 向 管理 员 | @ Sasa sn ome enon 
请 求 相应 权限 即 可 。 收 件 人 收 到 权限 请 求 邮件 之 本 Ce 


后 ,根据 实际 情况 ,核对 是 否 应 授予 其 相应 权限 。 如 图 4-37 Microsoft Office Word 对 话 框 
果 是 , 则 重新 编辑 被 保护 文档 的 权限 限制 即 可 。 


4.3.4 知识 链接 : IRM 


Microsoft Office 中 的 IRM 为 组 织 和 信息 工作 者 ,控制 他 们 自己 的 信息 提供 了 又 一 种 
有 益 机 制 。IRM 是 Microsoft 开发 的 一 种 持久 性 的 文件 级 保护 技术 , 它 允 许 信 息 工作 者 对 
有 权 访 问 和 使 用 文档 或 电子 邮件 的 人 员 加 以 指定 ,并 且 能 够 保护 信息 不 受 未 经 授权 的 打印 、 
转发 或 复制 。 

IRM 对 一 种 被 称 作 Windows 权限 管理 (Windows Rights Management ) 的 关键 
Windows 平台 技术 进行 了 扩展 。 权 限 管 理 是 Windows 的 一 种 信息 保护 特性 , 它 可 以 与 应 
用 程序 相配 合 , 对 机 密 和 敏感 的 企业 信息 加 以 保护 一 一 无 论 这 些 信息 被 发 送 到 什么 地 方 。 
作为 对 用 户 所 提出 的 改善 内 容 保护 要 求 的 响应 ,Microsoft 将 权限 管理 设计 为 一 个 可 扩展 的 
平台 ,可 以 集成 到 Office 以 及 各 种 第 三 方 应 用 程序 之 中 。 

IRM 是 一 个 策略 工具 ,在 对 有 权 使 用 文档 的 人 员 和 文档 的 使 用 目的 进行 控制 的 同时 ， 
允许 用 户 对 文档 进行 共享 和 通过 电子 邮件 发 送 文 档 。 因 为 IRM 保护 随 着 文件 移动 ,所 以 该 
技术 可 以 保护 文档 或 者 电子 邮件 ,无 论 这 些 信息 移动 到 什么 地 方 ,访问 限制 始终 附加 在 信息 
之 上 ; 即便 是 文件 被 发 送 到 了 防火 墙 的 外 部 也 是 如 此 。IRM 并 不 是 一 个 安全 特性 ,在 用 户 
被 授予 了 有 限制 的 权限 之 后 ,应 用 程序 UI 和 对 象 模型 还 会 应 用 剩余 的 其 他 限制 ,这 些 限制 
不 能 防止 任何 形式 的 滥用 现象 发 生 。 
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. 简 述 AD RMS 服务 在 企业 网 络 中 的 主要 应 用 。 

. 在 企业 网 络 中 部 署 AD RMS 服务 器 之 前 应 做 好 哪些 准备 工作 ? 
. 客户 端 如 何 应 用 AD RMS 服务 器 上 生成 的 权限 策略 模板 ? 

. 简 述 IRM 和 AD RMS 有 哪些 异同 。 


实验 : 使 用 IRM 保护 机 蜜 文 档 


实验 目的 : 

掌握 如 何 通过 IRM 保护 机 密 文档 的 安全 。 

实验 内 容 : 

企业 网 络 中 没有 部 署 AD RMS 服务 器 ,使 用 . NET Passport 账户 申请 RM 证 书 ,保护 
机 密 文档 的 安全 。 

实验 步骤 : 

(1) 打开 需要 保护 的 机 密 文 档 。 

(2) 启动 权限 限制 向 导 。 

(3) 使 用 已 有 的 Windows Live 账户 或 .NET Passport 账户 申请 RM 证 书 。 

(4) 根据 Windows Live 账户 或 .NET Passport 账户 赋予 指定 的 用 户 账 户 查 看 权限 ,并 
设置 文档 的 有 效 期 为 7 天 。 

(5) 将 使 用 RM 证 书 保护 的 文档 发 送 给 对 方 。 

(6) 对 方 用 户 使 用 被 赋予 权限 的 账户 登录 并 获取 RM 证 书 ,打开 文档 并 验证 是 否 可 以 
编辑 。 


请 Dr 


网 络 病毒 防御 


随 着 网 络 化 应 用 程度 的 提高 ,有 效 阻止 网 络 病毒 人 侵 已 经 成 为 网 络 安全 的 一 个 重要 课 
题 。 网 络 病毒 将 直接 影响 网 络 的 正常 运行 , 轻 则 降低 响应 速度 ,影响 工作 效率 , 重 则 服务 器 
死机 ,其 至 网 络 竣 痪 。 如 今 大 多 数 病 毒 都 是 通过 网 络 传播 的 ,而 且 传播 速度 极 快 ,大 大 增加 
了 管理 员 处 理 的 难度 。 因 此 ,在 局 域 网 中 ,通常 部 署 统一 的 网 络 病毒 防御 系统 ,借助 防 病毒 
服务 器 自动 管理 所 有 网 络 客户 端的 病毒 查 杀 、 病 毒 库 升级 等 工作 。 


5.1 网 络 病 毒 防御 规划 


近 几 年 来 ,网络 病毒 ,木马 .恶意 软件 .间谍 程 序 已 经 成 为 影响 网 络 安全 的 主要 因素 。 网 
络 攻击 的 “商业 性 ”特征 更 加 突出 ,企业 网 络 中 的 重要 服务 器 、 关 键 数 据 往 往 是 入 侵 者 袭击 的 
首要 目标 。 

5.1.1 案例 情景 


目前 ,该 企业 网 络 中 的 大 部 分 服务 器 和 客户 端 都 部 署 了 杀毒 软件 和 病毒 防火 墙 , 主 要 包 
插 Symantec 瑞星 和 金山 毒霸 等 。 这 些 防 病毒 措施 虽然 可 以 阻止 大 部 分 常规 网 络 病毒 的 人 
侵 , 但 是 为 了 确保 服务 器 杀毒 软件 病毒 特征 库 的 时 效 性 ,管理 员 需 要 经 常 检查 杀毒 软件 的 升 
级 情况 ,非常 麻烦 。 由 于 杀毒 软件 类 别 和 型 号 各 不 相同 ,很 难 实现 统一 管理 ,操作 起 来 非常 
麻烦 。 

大 部 分 客户 端 计算 机 都 已 经 安装 了 杀毒 软件 ,但 能 够 按时 升级 病毒 特征 库 和 执行 病毒 
扫描 的 却 很 少 ,通常 都 是 由 于 杀毒 软件 的 版 本 过 于 陈旧 ,未 能 阻止 和 查 杀 入 侵 系统 的 新 型 病 
毒 ,最终 导致 系统 崩溃 或 感染 到 网 络 中 的 其 他 计算 机 。 总 而 言 之 ,客户 端 计算 机 上 的 杀毒 软 
件 利用 效率 不 高 。 


5.1.2 项 目 需求 


随 着 计算 机 病毒 的 不 断 演 变 和 升级 , 原 有 的 分 散 式 防 病毒 措施 已 经 很 难 奏效 。 虽然 管 
理 员 可 以 确保 服务 器 上 防 病毒 系统 的 安全 性 和 有 效 性 ,但 通过 客户 端 计算 机 入 侵 的 网 络 病 
毒 ,同样 会 感染 到 网 络 中 的 其 他 计算 机 ,甚至 是 服务 器 ,这 也 是 现 有 安全 防御 体系 频频 失守 
的 重要 因素 。 

切实 有 效 的 防 病毒 系统 不 仅 是 检测 和 清除 病毒 .还 应 加 强 对 病毒 的 防护 工作 。 因 此 ,在 
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网 络 中 不 仅 要 部 署 被 动 防御 体系 ( 防 病毒 系统 ) 还 要 采用 主动 防御 机 制 (防火 墙 .安全 策略 、 
漏洞 修复 等 ) ,将 病毒 隔离 在 网 络 大 门 之 外 。 通 过 管理 控制 台 统一 部 署 防 病毒 系统 ,保证 不 
出 现 防 病毒 漏洞 。 因 此 ,远程 安装 、 集 中 管理 ,统一 防 病毒 策略 成 为 校园 网 中 防 病毒 产品 的 
重要 需求 。 


5.1.3 解决 方案 


鉴于 该 网 络 的 需求 以 及 当前 计算 机 病毒 的 特征 ,可 以 从 如 下 方面 出 发 ,打造 计算 机 病毒 
防御 体系 。 

(1) 构建 控 管 中 心 集中 管理 架构 。 保 证 网 络 中 的 所 有 客户 端 计算 机 、 服 务 器 可 以 从 管 
理 系统 中 及 时 得 到 更 新 ,同时 系统 管理 人 员 可 以 在 任何 时 间 ,任何 地 点 通过 浏览 器 对 整个 防 
毒 系统 进行 管理 ,使 整个 系统 中 任何 一 个 节点 都 可 以 被 系统 管理 人 员 随 时 管理 ,保证 整个 防 
毒 系统 有 效 、 及 时 地 拦截 病毒 。 

(2) 构建 全 方位 、 多 层次 的 防毒 体系 。 结 合 企业 实际 网 络 防毒 需求 ,构建 了 多 层次 病毒 
防线 ,分 别 是 网 络 层 防毒 .邮件 网 关 防 毒 、Web 网 关 防 毒 、 群 件 防 毒 .应 用 服务 器 防毒 、 客 户 
端 防毒 ,保证 斩 断 病毒 可 以 传播 .寄生 的 每 一 个 节点 ,实现 病毒 的 全 面 布控 。 

(3) 构建 高 效 的 网 关 防 毒 子 系统 。 网 关 防 毒 是 最 重要 的 一 道 防线 ,一 方面 消除 外 来 邮 
件 SMTP .POP3 病毒 的 威胁 ; 另 一 方面 消除 通过 HTTP、FTP 等 应 用 的 病毒 风险 ,同时 对 
邮件 中 的 关键 字 、 垃 圾 邮件 进行 阻挡 ,有 效 阻 断 病毒 最 主要 传播 途径 。 

(4) 构建 高 效 的 网 络 层 防毒 子 系统 。 校 园 中 网 络 病毒 的 防范 是 最 重要 的 防范 工作 ， 
通过 在 网 络 接口 和 重要 安全 区 域 部 署 网 络 病毒 系统 ,在 网 络 层 全 面 消 除外 来 病毒 的 威 
胁 , 使 得 网 络 病毒 不 再 肆意 传播 ,同时 结合 病毒 所 利用 的 传播 途径 ,结合 安全 策略 进行 主 
动 防御 。 

目前 各 大 网 络 安全 厂商 主推 的 网 络 防 病毒 系统 ,非常 适合 网 络 病毒 安全 的 防御 系统 , 例 
如 Symantec \ 瑞 星 等。 网 络 防 病毒 系统 主要 由 服务 器 和 客户 端 两 部 分 组 成 。 主 要 特点 就 是 
客户 端 可 以 直接 通过 局 域 网 从 服务 器 获得 最 新 的 病毒 库 升 级 文件 ,并 且 管 理 员 可 以 通过 防 
病毒 服务 器 客户 端 监控 功能 ,及 时 了 解 客户 端的 运行 情况 ,以 便 统一 管理 和 部 署 。 因 此 ,部 
署 企 业 杀 毒 软件 系统 不 仅 可 以 节省 整个 网 络 的 带宽 开销 ,还 可 以 提高 网 络 安全 性 。 图 5-1 
所 示 的 是 大 多 数 企 业 杀 毒 软件 的 运行 模式 。 


图 5-1 网 络 防 病毒 系统 
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企业 网 络 杀 毒 软件 系统 中 的 服务 器 端 是 指 安装 服务 器 管理 软件 的 计算 机 ,可 以 直接 登 
录 杀 毒 软件 官方 升级 服务 器 ,快速 下 载 最 新 病毒 库 文件 。 管理 员 可 以 通过 服务 器 端 对 下 属 
的 二 级 服务 器 、 客 户 端 等 进行 统一 管理 ,如 分 发 升级 文件 .接收 客户 端 病毒 报警 .实时 状态 监 
控 等 。 另 外 ,服务 器 端 通常 都 集成 适用 于 各 种 版 本 操作 系统 的 客户 端 安装 程序 ,管理 员 可 以 
直接 通过 局 域 网 安装 客户 端 , 免 去 一 一 安装 的 麻烦 。 

客户 端 是 指 接受 网 络 防 病毒 服务 器 管理 的 所 有 计算 机 ,必须 安装 与 服务 器 端 配套 的 杀 
毒 软件 ,并 接受 服务 器 的 管理 。 客 户 端 既 可 手动 连接 到 局 域 网 防 病毒 服务 器 更 新 病毒 库 , 也 
可 以 指定 为 自动 接收 来 自 服务 器 的 病毒 库 文件 。 


s.2 病毒 概述 


随 着 网 络 功能 的 不 断 拓展 ,信息 安全 性 的 要 求 也 越 来 越 高 ,以 至 于 国家 信息 安全 部 门 不 
得 不 在 电视 ,广播 .网 络 等 各 大 媒体 提醒 用 户 ,或 发 布 最 新 的 安全 警示 。 计 算 机 病毒 是 威胁 
网 络 安全 的 主要 方面 ,其 实 大 家 对 计算 机 病毒 并 不 陌生 ,即使 自己 没有 感染 过 也 会 听 到 或 看 
到 过 ,尤其 是 经 过 近 几 年 “冲击 波 ”“ 振 荡 波 ”“ 灰 名 子 ”“ 熊 猫 烧香 ”等 网 络 病毒 的 肆虐 之 
后 , 谈 起 计算 机 病毒 更 是 让 人 心 惊 胆 战 。 


5.2.1 计算 机 病毒 


从 广义 上 定义 , 凡 能 够 引起 计算 机 故障 ,破坏 计算 机 数据 的 程序 统称 为 计算 机 病毒 。 根 
据 该 定义 , 迎 辑 炸弹 .蠕虫 等 均 可 称 为 计算 机 病毒 。 根 据 ( 中 华人 民 共 和 国 计 算 机 信息 系统 
安全 保护 条 例 ), 第 二 十 八条 中 明确 指出 :“ 计 算 机 病毒 ,是 指 编制 或 者 在 计算 机 程序 中 插入 
的 破坏 计算 机 功能 或 者 毁坏 数据 ,影响 计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 者 程 
序 代 码 。” 计 算 机 病毒 必须 满足 两 个 条 件 。 中 必须 能 自动 执行 ; @@ 必 须 能 自动 复制 。 

1. 计算 机 病毒 的 特征 

计算 机 病毒 通常 具备 传染 性 、 隐 项 性 、 潜 伏 性 \ 欺 骗 性 .表现 性 、 破 坏 性 6 大 特性 。 

(1) 传染 性 : 计算 机 病毒 可 通过 各 种 可 能 的 渠道 ,如 软盘 、 盗 版 光盘 .计算 机 网 络 .电子 
邮件 去 传染 其 他 的 计算 机 。 是 否 具有 传染 性 是 判别 一 个 程序 是 否 为 计算 机 病毒 的 最 重要 
条 件 。 

(2) 隐蔽 性 : 病毒 一 般 是 具有 很 高 编写 技巧 而 且 短 小 精 悍 的 程序 。 通 常 附 在 正常 程序 
中 或 操作 系统 中 较 隐 项 的 地 方 ,也 有 很 多 文件 以 隐藏 形式 出 现 ,目的 是 不 让 用 户 发 现 它 的 
存在 。 

(3) 潜伏 性 : 有 一 些 病毒 在 感染 系统 之 后 并 不 立即 发 作 , 而 是 要 潜伏 一 段 时 期 ,等 待 触 
发 条 件 满 足 之 后 才 发 作 。 

(4) 欺骗 性 : 病毒 往往 会 有 一 些 很 好 看 的 图 标 ,很 好 听 的 名 称 , 邮 件 病 毒 会 有 一 些 很 有 
诱惑 力 的 标题 ,使 用 户 认 为 它 是 正常 的 程序 ,从 而 点 击 运行 ,执行 病毒 程序 。 

(5) 表现 性 : 计算 机 病毒 进入 系统 都 会 对 系统 有 不 同 程度 的 影响 ,一 般 带 有 个 人 情绪 
的 病毒 或 恶作剧 程序 发 作 的 时 候 表现 特征 明显 一 些 。 

(6) 破坏 性 : 所 有 的 计算 机 病毒 都 存在 一 个 共同 的 危害 , 即 降低 计算 机 系统 的 工作 效 
率 , 占 用 系统 资源 ,其 具体 情况 取决 于 计算 机 病毒 设计 者 的 目的 。 
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2. 新 时 代 病 毒 的 特性 

近 几 年 ,危害 严重 的 计算 机 病毒 通常 具有 如 下 共同 特点 。 

(1) 与 经 济 利益 挂 钧 : 各 种 盗 取 账号 的 木马 、 后 门 程序 等 新 型 病毒 已 经 成 为 某 些 公 
司 非法 敛财 的 工具 。 病 毒 背后 的 巨大 的 灰色 产业 链 给 整个 互联 网 带 来 了 更 加 严峻 的 
考验 。 

(2)“ 网 页 挂 马 ” 与 ARP 欺骗 危害 加 剧 : 近 几 年 来 ,网 页 挂 马 成 爆炸 式 增长 ,而 且 挂 马 
程序 使 用 的 木马 隐蔽 性 越 来 越 高 ,致使 大 多 数 管理 员 很 难 发 现 。ARP 攻击 是 局 域 网 中 最 常 
见 的 攻击 方式 之 一 ,其 最 新 表现 方式 是 同 其 他 挂 马 程序 配合 应 用 ,达到 攻击 的 目的 。 

(3) 团队 化 运作 方式 : 伴随 着 安全 厂商 对 病毒 的 梨 杀 ,病毒 制作 者 开始 想方设法 逃避 
杀毒 软件 的 追 杀 ,甚至 从 技术 的 角度 对 杀毒 软件 进行 攻击 。 首 先 ,有 专人 负责 开发 病毒 程 
序 ,再 由 专人 将 其 散播 到 网 站 或 目标 用 户 的 计算 机 ,最 后 将 窃取 到 的 信息 反馈 到 处 理 中 心 ， 
处 理 中 心 则 根据 用 户 信息 的 价值 进行 相应 的 处 理 。 

(4) 变种 数量 成 为 病毒 危害 性 的 新 标准 : 通常 情况 下 ,一 种 新 型 的 计算 机 病毒 的 破坏 
力 并 不 可 怕 , 可 怕 的 是 随 之 而 来 的 各 种 变种 。 一 种 病毒 衍生 出 多 种 病毒 ,通过 更 多 的 手段 传 
播 ,迫使 更 多 的 人 参与 ,被 感染 的 用 户 也 就 越 来 越 多 。 


5.2.2 木马 


特洛伊 木马 (简称 木马 ) ,英文 名 称 Trojan Horse。 木 马 是 指 那 些 表 面 上 是 有 用 的 软件 
而 实际 目的 却 是 危害 计算 机 安全 并 导致 严重 破坏 的 计算 机 程序 。 木 马 是 一 种 基于 远程 控制 
的 黑客 工具 ,典型 客户 端 / 服 务 器 端 (C/S) 控 制 模式 ,客户 端 也 称 为 控制 端 。 木 马 通常 具有 
如 下 3 个 特性 。 

(1) 隐蔽 性 : 木马 的 设计 者 为 了 防止 木马 被 发 现 ,采用 多 种 手段 隐藏 木马, 这样 服 务 端 
即使 发 现 感染 了 木马 ,也 难以 确定 其 具体 位 置 。 

(2) 非 授 权 性 : 控制 端 与 服务 端 连接 后 ,控制 端 将 窃取 到 服务 端的 操作 权限 ,如 修改 文 
件 , 修 改 注册 表 等 ,以 窃取 服务 端的 信息 ,例如 个 人 账户 密码 ,数据库 信 息 等 。 

(3) 破坏 性 : 木马 的 发 作 要 在 远程 服务 端的 计算 机 运行 服务 程序 ,一 旦 发 作 ,自动 设置 
后 门 , 定 时 地 发 送 该 计算 机 用 户 的 隐私 到 木马 程序 指定 的 地 址 ,客户 端 可 以 通过 预 设 的 端口 
和 服务 端 连接 ,可 任意 控制 此 计算 机 ,进行 文件 删除 复制 .修改 密码 等 操作 。 

木马 与 病毒 的 重大 区 别 是 木马 不 具 传 染 性 , 它 并 不 能 像 病毒 那样 自我 复制 ,也 并 不 “ 主 
动 ? 地 去 感染 其 他 文件 ,主要 通过 将 自身 伪装 起 来 ,吸引 计算 机 用 户 下 载 执行 。 

木马 中 包含 能 够 在 触发 时 导致 数据 丢失 甚至 被 窍 的 恶意 代码 ,要 使 木马 传播 ,必须 在 计 
算 机 上 有 效 地 启用 这 些 程序 ,例如 打开 电子 邮件 附件 或 者 将 木马 捆绑 在 软件 中 放 到 网 络 上 
吸引 浏览 者 下 载 执行 等 。 

目前 ,木马 一 般 主要 以 穷 取 用 户 相 关 信息 为 主要 目的 。 相 对 病毒 而 言 ,可 以 简单 地 说 ， 
病毒 破坏 计算 机 使 用 者 的 信息 ,而 木马 窃取 计算 机 使 用 者 的 信息 。 


5.2.3 里 由 病毒 


蠕虫 是 设计 用 来 将 自己 从 一 台 计 算 机 复制 到 另 一 台 计算 机 ,并 执行 预定 操作 功能 的 程 
序 代 码 ,蠕虫 可 以 自动 执行 ,同时 可 以 自我 复制 ,系统 一 旦 感染 蠕虫 ,蠕虫 即 可 自行 传播 。 蜂 
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虫 是 一 种 通过 网 络 传播 的 恶性 病毒 , 它 具 有 病毒 的 一 些 共 性 ,如 传播 性 、 隐 蔽 性 、 破 坏 性 等 ， 
同时 也 具有 自己 的 一 些 特征 ,如 不 利用 文件 寄生 (有 的 只 存在 于 内 存 中 )、 使 网 络 造成 拒绝 服 
务 与 黑客 技术 相 结 合 等 。 例 如 ,蠕虫 可 向 电子 邮件 地 址 德 中 的 所 有 联系 人 发 送 自己 的 副 
本 ,那些 联系 人 的 计算 机 也 将 执行 同样 的 操作 ,结果 造成 多 米 诺 效应 (网 络 通信 和 负担 沉重 )， 
使 计算 机 和 整个 Internet 的 速度 减 慢 。 

普通 病毒 的 传染 能 力主 要 是 针对 计算 机 内 的 文件 系统 而 言 , 而 蠕虫 病毒 的 传染 目标 是 
局 域 网 和 互联 网 内 的 所 有 计算 机 。 系 统一 旦 感染 蠕虫 ,蠕虫 即 可 自行 传播 ,将 自己 从 一 台 计 
算 机 复制 到 另 一 台 计 算 机 。 因 而 在 产生 的 破坏 性 上 ,蠕虫 病毒 不 是 普通 病毒 所 能 比拟 的 ,网 
络 的 发 展 使 得 蠕虫 可 以 在 短 短 的 时 间 内 草 延 至 整个 网 络 ,造成 网 络 瘫 痰 。 局 域 网 条 件 下 的 
共享 文件 夹 . 电 子 邮 件 、 网 络 中 的 恶意 网 页 大量 存在 着 漏洞 的 服务 器 等 ,都 是 蠕虫 传播 的 良 
好 途径 。 蠕 虫 病毒 可 以 在 几 个 小 时 内 草 延 全 球 ,而 且 蠕 虫 的 主动 攻击 性 和 突然 爆发 性 使 网 
络 管理 员 手 足 无 措 。 同 时 ,蠕虫 会 占用 内 存 或 网 络 带宽 ,从 而 可 能 导致 网 络 和 计算 机 崩溃 。 
蠕虫 的 传播 不 必 通 过 “宿主 ”程序 或 文件 , 它 的 危害 远 比 普通 病毒 大 。 典 型 的 蠕虫 病毒 有 尼 
姆 达 、 震 荡 波 等 。 

蠕虫 病毒 主要 通过 3 种 途径 传播 : 系统 漏洞 .聊天 软件 和 电子 邮件 。 


5.2.4 网 页 病毒 


网 页 病毒 主要 是 利用 软件 或 系统 操作 平台 等 的 安全 漏洞 ,通过 执行 嵌入 在 网 页 
HTML 超 文本 标记 语言 内 的 Java Applet 小 应 用 程序 .JavaScript 脚本 语言 程序 、ActiveX 
控件 网 络 交互 技术 支持 可 自动 执行 的 代码 程序 ,以 强行 修改 用 户 操作 系统 的 注册 表 设 置 
及 系统 实用 配置 程序 ,或 非法 控制 系统 资源 盗 取 用 户 文件 ,或 恶意 删除 硬盘 文件 .格式 化 
硬盘 等 。 

网 页 病毒 完全 不 受 计算 机 用 户 控制 ,一 旦 浏览 含有 该 病毒 的 网 页 ,在 没有 防护 措施 的 情 
况 下 ,立即 被 感染 ,给 计算 机 用 户 的 系统 带 来 一 般 性 的 、 轻 度 性 的 、 严 重 的 ,恶性 的 等 不 同 程 
度 的 破坏 ,同时 访问 网 页 的 速度 变 慢 ,甚至 导致 损失 惨重 无 法 弥补 。 

根据 目前 互联 网 上 流行 的 常见 网 页 病毒 的 作用 对 象 及 表现 特征 ,将 其 归纳 为 以 下 两 大 类 。 

第 一 类 : 通过 JavaScript、Applet、ActiveX 编辑 的 脚本 程序 修改 IE 浏览 器 ,可 以 造成 如 
下 后 果 。 

(1) 默认 主页 .首页 .微软 主页 被 修改 。 

(2) 主页 设置 被 屏蔽 锁定 , 且 设置 选项 无 效 不 可 改 回 。 

(3) 默认 的 IE 搜索 引擎 被 修改 。 

(4) IE 标题 栏 被 添加 非法 信息 。 

(5) 鼠标 右键 菜单 被 添加 非法 网 站 广告 链接 。 

(6) 鼠标 右键 弹出 菜单 功能 被 禁用 、 失 常 。 

(7) IE 收藏 夹 被 强行 添加 非法 网 站 的 地 址 链接 。 

(8) 在 IE 工 具 栏 非法 添加 按钮 。 

(9) 锁定 地 址 下 拉 菜 单 及 其 添加 文字 信息 。 

(10) IE 菜单 “查看 ”下 的 * 源 文件 ”被 禁用 。 

第 二 类 : 通过 JavaScript、Applet、ActiveX 编辑 的 脚本 程序 修改 用 户 操作 系统 ,可 以 造 
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成 如 下 后 果 。 
(1) 开机 出 现 对 话 框 。 
(2) 系统 正常 启动 后 ,IE 被 锁定 网 址 自动 调用 打开 。 
(3) 格式 化 硬盘 。 
(4) 全 方位 侵害 封杀 系统 ,最 后 导致 次 次 崩溃 。 
(5) 非法 读 取 或 盗 取 用 户 文件 。 
(6) 锁定 、 禁 用 注册 表 。 
(7) 注册 表 被 锁定 禁用 之 后 ,编辑 . reg 注册 表 文件 打开 方式 错乱 。 
(8) 添加 广告 。 
(9) 启动 后 首页 被 再 次 修改 。 
(10) 更 改 * 我 的 电脑 "下 的 一 系列 文件 夹 名 称 。 


5.2.5 恶意 软件 


中 国 互联 网 协会 对 恶意 软件 的 定义 是 : 在 未 明确 提示 用 户 或 未 经 用 户 许可 的 情况 下 ， 
在 用 户 计算 机 或 其 他 终端 上 安装 运行 ,侵害 用 户 合法 权益 的 软件 ,但 不 包含 我 国法 律 法 规 规 
定 的 计算 机 病毒 。 具 有 下 列 特征 之 一 的 软件 可 以 被 认为 是 恶意 软件 。 

(1) 强制 安装 : 指 未 明确 提示 用 户 或 未 经 用 户 许可 ,在 用 户 计算 机 或 其 他 终端 上 安装 
软件 的 行为 。 

(2) 难以 全 载 : 指 未 提供 通用 的 印 载 方式 ,或 在 不 受 其 他 软件 影响 .人 为 破坏 的 情况 
下 , 印 载 后 仍然 有 活动 程序 的 行为 。 

(3) 浏览 器 劫持 : 指 未 经 用 户 许可 ,修改 用 户 浏览 器 或 其 他 相关 设置 ,迫使 用 户 访问 特 
定 网 站 或 导致 用 户 无 法 正常 上 网 的 行为 。 

(4) 广告 弹出 : 指 未 明确 提示 用 户 或 未 经 用 户 许可 ,利用 安装 在 用 户 计算 机 或 其 他 终 
端 上 的 软件 弹出 广告 的 行为 。 

(5) 恶意 收集 用 户 信 息 : 指 未 明确 提示 用 户 或 未 经 用 户 许可 ,恶意 收集 用 户 信 息 的 
行为 。 

(6) 恶意 印 载 : 指 未 明确 提示 用 户 ,未 经 用 户 许可 ,或 误导 ,欺骗 用 户 印 载 其 他 软件 的 
行为 。 

(7) 恶意 捆绑 : 指 在 软件 中 捆绑 已 被 认定 为 恶意 软件 的 行为 。 

(8) 行为 记录 : 行为 记录 软件 是 指 未 经 用 户 许 可 ,窃取 并 分 析 用 户 隐 私 数据 ,记录 用 户 
计算 机 使 用 习惯 、 网 络 浏览 习惯 等 个 人 行为 的 软件 。 

(9) 其 他 侵害 用 户 软 件 安装 、 使 用 和 印 载 知情 权 、 选 择 权 的 恶意 行为 。 


5.2.6 ”中毒 症 状 


计算 机 病毒 是 一 段 程序 代码 ,虽然 病毒 可 能 隐藏 得 很 好 ,但 也 会 留 下 许多 痕迹 。 通 过 对 
这 些 蛛 丝 马 迹 的 判别 ,就 可 以 发 现 已 经 存在 的 计算 机 病毒 。 计 算 机 用 户 可 以 根据 以 下 现象 
判断 自己 的 操作 系统 是 否 已 经 感染 了 病毒 。 

(1) 系统 运行 速度 减 慢 。 

(2) 系统 经 常 无 故 死机 。 
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系统 经 常 无 故 重新 启动 。 

(4) 系统 文件 长 度 发 生变 化 。 

(5) 系统 提示 内 存 不 足 。 

(6) 磁盘 存储 空间 容量 异常 减少 。 

(7) 系统 引导 速度 变 慢 。 

(8) 丢失 文件 或 者 文件 损坏 。 

(9) 计算 机 扬声器 异常 声响 。 

(10) 屏幕 出 现 异 常 显示 。 

(11) 磁盘 卷 标 自动 发 生变 化 。 

(12) 硬盘 丢失 。 

(13) 磁盘 访问 异常 (无 工作 时 硬盘 指示 灯 狂 闪 )。 

(14) 键盘 输入 异常 。 

(15) 文件 的 属性 (日 期 .时 间 等 ) 发 生变 化 。 

(16) 无 法 正常 读 取 、 打 开 文 件 。 

(17) 异常 要 求 用 户 输入 密码 。 

(18) 在 没有 编辑 过 宏 的 前 提 下 Word 或 者 Excel 提示 执行 “ 宏 ”。 

(19) 有 未 知 程序 常 驻 内 存 。 

(20) 系统 出 现 大 量 来 历 不 明 的 文件 。 

(21) 系统 自动 执行 某 些 操作 。 

(22) 开机 运行 异常 程序 。 

(23) 网 络 流量 异常 。 

(24) 任务 管理 器 中 出 现 可 疑 进程 。 

(25) 系统 服务 中 的 奇怪 项 目 。 

(26) 访问 网 络 速度 极 慢 。 

(27) 系统 中 打开 许多 端口 。 

(28) 收 到 包含 奇怪 附件 的 电子 邮件 。 打 开 附件 后 ,出 现 对 话 框 或 系统 性 能 突然 
降低 。 

(29) 防 病毒 程序 被 无 端 禁用 ,并 且 无 法 重新 启动 。 

(30) 无 法 在 计算 机 上 安装 防 病毒 程序 ,或 安装 的 防 病毒 程序 无 法 运行 。 

(31) 屏幕 上 出 现 奇 怪 的 对 话 框 或 消息 框 。 桌 面 上 出 现 的 新 图 标 不 是 由 操作 者 放置 的 ， 
或 者 与 最 近 安 装 的 任何 程序 都 无 关 。 

(32) 由 于 某 些 关键 的 系统 文件 丢失 ,Windows 无 法 启动 ,然后 出 现 错误 消息 并 列 出 这 
些 丢 失 的 文件 。 

(33) 防 病毒 软件 提示 存在 病毒 。 

(34) 浏览 器 设置 被 强行 修改 。 

(35) 自动 弹出 广告 窗口 。 

(36) 自动 打开 网 站 。 

当 计 算 机 出 现 如 上 所 述 的 情况 时 ,系统 就 有 可 能 感染 了 病毒 ,建议 立即 升级 病毒 库 , 启 
动 病毒 查 杀 软件 , 查 杀 可 能 存在 的 病毒 。 


rp 


sw 


第 5 章 网 络 病毒 防 条 


5.2.7 传播 途径 


计算 机 病毒 具有 自我 复制 和 传播 的 特点 ,从 计算 机 病毒 的 传播 机 理 分 析 可 知 , 只 要 是 能 
够 进行 数据 交换 的 介质 都 有 可 能 成 为 计算 机 病毒 的 传播 途径 。 传统 的 手工 传播 计算 机 病毒 
的 方式 与 现在 通过 Internet 传播 相 比 速度 要 慢 得 多 。 

1. 移动 存储 设备 

可 移动 设备 例如 软盘 光盘 、 磁 带 、.U 盘 等 ,盗版 光盘 上 的 软件 和 游戏 及 非法 复制 也 是 
目前 传播 计算 机 病毒 的 主要 途径 之 一 。 随 着 大 容量 可 移动 存储 设备 如 Zip 盘 、 可 控 写 光盘 、 
磁 光 盘 (MO) 等 的 普遍 使 用 ,这 些 存 储 介 质 也 将 成 为 计算 机 病毒 寄生 的 场所 。 

硬盘 是 数据 的 主要 存储 介质 ,因此 也 是 计算 机 病毒 感染 的 重 灾区 。 硬 盘 传 播 计算 机 病 
毒 的 途径 主要 是 : 硬盘 向 软盘 上 复制 带 毒 文件 , 带 毒 情况 下 格式 化 软盘 ,向 光盘 上 刻录 带 毒 
文件 ,硬盘 之 间 的 数据 复制 ,以 及 将 带 毒 文件 发 送 至 其 他 地 方 等 。 在 移动 存储 设备 中 ,U 盘 
是 使 用 最 广泛 移动 最 频繁 的 存储 介质 ,因此 也 成 了 计算 机 病毒 寄生 的 “温床 ”。 

2. 计算 机 网 络 

现代 信息 技术 的 巨大 进步 已 使 空间 距离 不 再 遥远 ,相隔 天 涯 ,如 在 县 尺 ”, 但 也 为 计算 
机 病毒 的 传播 提供 了 新 的 “高 速 公 路 ”。 计 算 机 病毒 可 以 附着 在 正常 文件 中 通过 网 络 进入 一 
个 又 一 个 系统 ,而 且 病 毒 在 计算 机 网 络 环境 中 的 传播 速度 非常 快 。 

3. 点 对 点 通信 系统 和 无 线 网 络 

目前 ,这 种 传播 途径 还 不 是 十 分 广泛 ,但 预计 在 未 来 的 信息 时 代 , 这 种 途径 很 可 能 与 网 
络 传播 途径 成 为 病毒 扩散 的 两 大 “时 尚 渠道 ”。 

4. 电子 邮件 

现在 很 多 蠕虫 病毒 都 是 通过 邮件 传播 的 ,一 般 是 在 邮件 的 附件 中 夹带 着 病毒 文件 ,用 户 
一 旦 双击 运行 附件 就 会 中 毒 。 


5.3 SEP 企业 版 的 安装 


SEP Manager 类 似 于 Symantec AntiVirus 企业 版 中 的 系统 中 心 , 主 要 用 于 管理 SEP 
服务 器 和 客户 端 ,直接 从 光盘 安装 即 可 。SEP Manager 引进 了 数据 库 管理 技术 ,最 多 可 以 
支持 超过 5000 个 端点 的 网 络 环境 ,管理 员 可 以 通过 创建 不 同 的 服务 器 组 ,实现 网 络 负载 
均衡 。 


5.3.1 安装 要 求 


新 一 代 Symantec 计算 机 网 络 安全 防御 系统 对 目标 计算 机 硬件 和 软件 的 要 求 更 加 严 
格 , 除 满足 最 低 需 求 外 ,目标 计算 机 的 用 户 账户 还 必须 拥有 远程 登录 和 管理 客户 机 的 权限 ， 
以 便 实现 远程 部 署 和 管理 。 

1. 硬件 需求 

安装 SEP Manager 的 基本 硬件 需求 如 表 5-1 所 示 ,硬件 性 能 的 高 低 将 直接 影响 到 服务 
器 的 稳定 性 和 可 以 支持 的 客户 端 数量 。 
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表 5-1 SEP Manager 基本 硬件 需求 


组 件 x86 x64 
Intel EM64T 的 Intel Xeon 和 Intel Pentium TV 
处 理 器 1GHz Intel Pentium I 处 理 器 .AMD 64 位 Opteron 和 Athlon 处 理 
器 ,不 支持 Itanium 处 理 器 
内 存 1GB( 建 议 使 用 2GB) 1GB( 建 议 使 用 2GB) 
硬盘 2GB( 建 议 使 用 4GB) 2GB( 建 议 使 用 4GB) 
Super VGA(1024X768) 或 更 
区 Super VGA(1024X768) 或 更 高 分 辩 率 的 视 
显示 器 高 分 辨 率 的 视频 适配器 和 显 频 适配器 和 显示 器 
示 器 
2. 系统 和 软件 需求 


SEP Manager 支持 以 下 操作 系统 。 

(1) Windows 2000 Server SP3 或 更 高 版 本 。 

(2) Windows XP Professional(Service Pack 1) 或 更 高 版 本 。 

(3) Windows Server 2003 各 种 版 本 (64 位 版 本 必须 集成 SP1 或 更 高 版 本 系统 补丁 ) 。 

(4) x64 Windows Server 2003 服务 器 群集 。 

(5) Windows Server 2008 各 种 版 本 (Server Core 除外 )。 

(6) x64 Windows Essential Business Server 2008 系列 和 Windows Small Business 
Server 2008 系列 。 

注意 ; 如 果 要 为 SEP Manager 服务 器 使 用 Microsoft 群集 服务 , 则 必须 在 本 地 卷 上 安 
装 SEP Manager 服务 器 。 

安装 SEP Manager 的 计算 机 必须 满足 下 列 最 低 软件 要 求 。 

(1) 安装 和 启用 IIS 5. 0 或 更 高 版 本 ,如 果 使 用 IIS 7.0. 则 必须 安装 CGI、ASP. NET 以 
及 IIS 6.0 管理 兼容 性 等 组 件 。 

(2) Internet Explorer 6. 0 或 更 高 版 本 。 

(3) 使 用 静态 IP 地 址 。 

(4) Microsoft SQL 2000/2005 数据 库 服 务 器 (可 选 ) 。 

3. 用 户 权 限 需 求 

若 要 安装 Symantec 客户 端 软件 ,用 户 必 须 对 客户 端 计算 机 或 Windows 域 具有 管理 员 
权限 ,并 以 管理 员 的 身份 登录 。Symantec 软件 安装 程序 会 在 计算 机 上 启动 男 一 个 安装 程 
序 , 以 便 创 建 和 启动 服务 并 修改 注册 表 。 

如 果 不 想 为 用 户 提 供 其 计算 机 的 管理 权限 ,可 以 使 用 “ 推 式 部 署 向 导 ” 远 程 安装 
Symantec 客户 端 。 要 运行 “ 推 式 部 署 向 导 ”, 必 须 具 有 对 安装 该 程序 的 计算 机 的 本 地 管理 权限 。 

如 果 是 用 Active Directory 管理 计算 机 ,可 以 创建 “组 策略 ”, 该 策略 将 提供 安装 
Symantec 软件 所 必需 的 用 户 权限 。 


5.3.2 安装 SEP Manager 


安装 SEP Manager 之 前 必须 确保 已 经 安装 并 启动 了 IIS 服务 ,数据 库 服 务 器 是 可 选 的 ， 
如 果 网 络 客 户 端 数 量 不 超过 1000 个 ,完全 可 以 使 用 SEP 内 置 的 戏 入 式 数据 库 , 如 果 客 户 端 
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数量 较 多 , 则 建议 安装 独立 的 SQL Server 数据 库 , 并 建立 相应 的 数据 库 实例 。 
(1) 插入 安装 光盘 ,如 果 安 装 程序 未 自动 启动 , 则 可 以 双击 根 目录 下 的 Setup. exe 文件 
启动 安装 程序 ,显示 如 图 5-2 所 示 的 “Symantec Endpoint Protection 安装 程序 ”对 话 框 。 


Vv Symantec"Endpoint Protection 


请 而 于 玫 内 容 
赤 半 或 计 移 之 前 ,请 单 击 丝 处 查看 重要 信息 * 


TCR 
En dn arager 
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图 5-2 


“Symantec Endpoint Protection 安装 程序 ”对 话 框 


(2) 单 击 “安装 Symantec Endpoint Protection Manager” 按 钮 ,启动 SEP Manager 安装 
向 导 ,直接 单 击 “下 一 步 按 钮 ,选中 * 我 接受 该 许可 证 协议 中 的 条 款 ? 单 选 按钮 即 可 。 继 续 单 
击 * 下 一 步 ? 按 钮 ,显示 如 图 5-3 所 示 的 “目标 文件 夹 ” 对 话 框 , 单 击 “ 更 改 ” 按 钮 可 以 重新 选择 


安装 目录 ,建议 接受 默认 安装 路 径 。 


(3) 单 击 * 下 一 步 ? 按 钮 ,显示 如 图 5-4 所 示 的 “选择 网 站 ?对话 框 。 若 要 在 该 服务 器 上 
让 SEP Manager IIS Web 和 原 有 Web 站 点 同时 运行 , 则 选中 “使 用 默认 Web 站 点 " 单 选 按 
钮 ; 若 要 将 SEP Manager IIS Web 配置 为 当前 服务 器 上 唯一 的 Web 站 点 , 则 选中 “创建 自 
定义 网 站 ” 单 选 按钮 。 为 了 提高 Symantec 服务 器 自身 的 安全 性 ,建议 选中 “创建 自 定义 网 


站 ” 单 选 按 钮 。 
[EXIT | 
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图 5-3 “目标 文件 夹 "对 话 框 


5-4 “选择 网 站 ”对 话 框 


(4) 单 击 “ 下 一 步 ” 按 钮 ,显示 “准备 安装 程序 ”对 话 框 ,提示 安装 向 导 已 经 准备 就 绕 。 单 
击 “ 安 装 ” 按 钮 , 即 可 开始 安装 ,需要 等 待 几 分 钟 时 间 。 安 装 完成 后 , 单 击 “ 完 成 "按钮, 即 可 完 
成 SEP Manager 的 安装 ,并 自动 启动 SEP Manager 配置 向 导 。 


5.3.3 配置 SEP Manager 


安装 SEP Manager 之 后 ,还 需要 根据 需要 进行 相应 配置 ,包括 创建 服务 器 组 、 设 置 站 点 
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名 称 、 管 理 员 密 码 、 客 户 端 安装 方式 以 及 制作 客户 端 安 装 包 等 。 默 认 情 况 下 ,关闭 Symantec 
Endpoint Protection 安装 向 导 后 将 自动 启动 “管理 服务 器 配置 向 导 ”, 如 果 没 有 启动 也 可 按 
照 如 下 方法 打开 并 配置 。 

(1) 依次 选择 “开始 ”一 “所 有 程序 ”Symantec Endpoint Protection Manager 习 “管理 
服务 器 配置 向 导 ” 选 项 ,默认 显示 “欢迎 使 用 管理 服务 器 配置 向 导 ” 对 话 框 。 本 例 中 需要 部 署 
支持 大 约 500 个 客户 端的 服务 器 ,因此 选中 “高 级 ” 单 选 按 钮 。 单 击 “ 下 一 步 ”按钮 ,指定 该 管 
理 服 务 器 管理 的 客户 端 数量 ,根据 实际 情况 选择 即 可 ,本 例 选中 “500 到 1000 台 ” 单 选 按 钮 ， 
如 图 5-5 所 示 。 
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图 5-5 指定 客户 端 数量 


(2) 单 击 “下 一 步 " 按 钮 ,选中 “安装 我 的 第 一 个 站 点 ” 单 选 按钮 即 可 。 无 论 使 用 单 点 管 
理 模 式 还 是 使 用 服务 器 群集 模式 ,都 必须 先 安装 并 配置 第 一 个 管理 服务 器 站 点 。 单 击 * 下 一 
步 ” 按 钮 ,指定 管理 服务 器 名 称 和 通信 端口 。 在 “服务 器 名 ”文本 框 中 输入 Symantec 管理 
服务 器 的 名 称 , 便 于 客户 端 查 找 和 确认 ;“ 服 务 器 端口 "和 “Web 控制 台 端 口 ? 均 保持 默认 
即 可 。 单 击 “ 下 一 步 ” 按 钮 ,设置 站 点 名 称 ,在 “站 点 名 ”文本 框 中 输入 适当 名 称 即 可 ,如 
SEP, 如 图 5-6 所 示 。 

(3) 单 击 “ 下 一 步 ” 按 钮 ,设置 加 密 密 码 。 在 SEP 安全 防御 系统 中 ,管理 服务 器 和 客户 
端 之 间 的 通信 均 是 被 加 密 的 ,以 确保 传输 过 程 中 的 安全 。 单 击 “ 下 一 步 ”按钮 ,选择 希望 适用 
的 数据 库 类 型 ,本 例 为 “嵌入 式 数据 库 ”。 如 果 客 户 端 数 量 不 超过 5000 个 , 则 建议 选择 默认 
的 “嵌入 式 数据 库 , 以 避免 不 必要 的 兼容 性 问题 。 如 果 和 希望 实现 服务 器 群集 , 则 必须 选中 
Microsoft SQL Server 单 选 按钮 。 单 击 * 下 一 步 ?按钮 ,创建 系统 管理 员 账 户 , 默 认 账 户 名 称 为 
admin, 在 “密码 ”和 “确认 密码 ”文本 框 中 输入 管理 员 账 户 的 登录 密码 即 可 ,如 图 5-7 所 示 。 

注意 : 必须 妥善 保管 此 密码 。 创 建 数据 库 之 后 ,将 不 能 更 改 或 恢复 密码 。 当 没有 可 还 
原 的 备份 数据 库 时 ,必须 输入 此 密码 ,才能 进行 灾难 恢复 。 

(4) 单 击 “下 一 步 ? 按 钮 ,开始 创建 嵌入 式 数 据 库 。 完 成 后 会 提示 此 向 导 并 不 会 在 本 地 
计算 机 上 安装 SEP 客户 端 。 如 果 选 中 “是 ” 单 选 按钮 , 则 单 击 “完成 ”按钮 将 自动 启动 “迁移 
和 部 署 向 导 ”, 以 便 完 成 客户 端 远程 安装 包 的 创建 等 工作 。 
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图 5-6 设置 服务 器 名 称 和 站 点 名 


重要 服务 各 和 闪 户 全 计 复 约 村 各 自身 对 及 可 才 扣 站 各 坦 
行 加 密 。 训 和夫 和 要 企 下 硬 创 建 一 个 加密 检 罗 并 在 直行 天 
交 生 时 铺 入 书 - 
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图 5-7 设置 密码 .数据库 类 型 和 管理 员 账 户 


5.3.4 迁移 和 部 署 向 导 


迁移 和 部 署 向 导 主 要 用 来 帮助 管理 员 完 成 客户 端的 部 署 ,或 者 将 客户 端 从 旧版 本 
Symantec AntiVirus 迁移 到 SEP 管理 平台 。 可 以 在 完成 “管理 服务 器 配置 向 导 ” 后 立即 开 
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始 部 署 , 也 可 以 按照 如 下 方法 完成 。 

(1) 依次 选择 “开始 ”一 “所 有 程序 ”一 Symantec Endpoint Protection Manager->* 迁 移 
和 部 署 向 导 ” 选 项 ,显示 “欢迎 使 用 迁移 和 部 署 向 导 ” 对 话 框 。 单 击 “ 下 一 步 " 按 钮 ,选择 要 进 
行 的 操作 ,选中 “部 署 客户 端 " 单 选 按钮 。 单 击 " 下 一 步 ” 按 钮 ,指定 要 部 署 的 客户 端 组 。 客 户 
端 组 是 对 客户 端 进行 统一 管理 的 常用 工具 ,默认 情况 下 ,SEP Manager 已 经 提供 了 一 个 名 
为 Default Group 的 组 ,默认 情况 下 所 有 采用 “ 拉 ” 方 式 安装 的 客户 端 都 将 被 添加 到 该 组 中 。 
选中 “指定 您 要 部 署 客户 端的 新 组 名 ” 单 选 按钮 并 在 文本 框 中 输入 组 名 , 则 通过 此 向 导 部 署 
的 客户 端 将 自动 加 入 该 组 ,如 图 5-8 所 示 。 
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图 5-8 选择 要 进行 的 操作 和 指定 组 名 


(2) 单 击 “下 一 步 "按钮 ,开始 定制 该 客户 端 安装 包 中 提供 的 保护 功能 ,通常 保持 默认 即 
可 。 单 击 “ 下 一 步 ? 按 钮 ,显示 如 图 5-9 所 示 对 话 框 ,定制 安装 包 的 类 型 及 安装 方式 。 使 用 默 
认 配 置 创建 的 安装 程序 将 适用 于 32 位 客户 端 ,文件 格式 为 EXE, 且 在 无 人 参与 情况 下 完成 
安装 。 单 击 * 浏 览 ?按钮 ,可 以 设置 存储 安装 程序 的 目标 文件 夹 ,注意 此 处 的 文件 夹 路 径 必 须 
全 部 用 英文 表示 , 即 必须 遵循 表 5-2 所 示 的 国际 化 准则 。 
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图 5-9 设置 安装 包 相关 选项 
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表 5-2 国际 化 命名 准则 


命名 准则 


计算 机 名 、 域 名 及 工 
作 组 名 


支持 非 英文 字符 时 的 限制 如 下 : 

@ 对 于 那些 使 用 双 字 节 字符 集 或 hi-ASCII 字符 集 的 名 称 , 网 络 审 核 功能 可 能 无 
法 正常 工作 

@ 在 SEP Manager 控制 台 或 SEP 客户 端 用 户 界面 上 , 双 字 节 字 符 集 名 称 或 hi- 
ASCII 字 符 集 名 称 可 能 无 法 正常 显示 

回 较 长 的 双 字 节 或 hi-ASCII 字符 集 主机 名 不 能 长 于 NetBIOS 允许 的 长 度 。 如 
果 主 机 名 长 于 NetBIOS 允许 的 长 度 , 则 SEP Manager 控制 台 上 不 显示 “ 主 
页 ”“ 监 视 器 "和 “报告 ”页面 

图 以 双 字 节 或 hi-ASCIT 字符 名 称 命名 的 客户 端 计算 机 用 作 组 更 新 提供 程序 时 
无 法 工作 


在 下 列 情况 下 只 使 


@ 将 客户 端 软件 包 部 署 到 远程 计算 机 

@ 在 SEP Manager 的 服务 器 配置 向 导 页 中 定义 服务 器 数据 文件 夹 

@ 定义 SEP Manager 的 安装 路 径 

@ 在 将 客户 端 部 署 到 远程 计算 机 时 定义 凭据 

加 定义 组 名 称 。 可 以 为 名 称 中 包含 非 英语 字符 的 那些 组 创建 客户 端 软件 包 。 


用 英文 字符 但 是 , 当 组 名 中 包含 非 英语 字符 时 ,可 能 无 法 使 用 * 推 式 部 署 向 导 ? 部 署 客户 

端 软件 包 
@ 将 非 英语 字符 推送 至 客户 端 计算 机 。 在 服务 器 端 生成 的 某 些 非 英语 字符 在 

客户 端 用 户 界面 上 可 能 无 法 正确 显示 。 例 如 , 双 字 节 字 符 集 位 置 名 称 在 以 非 
双 字 节 字 符 集 命 名 的 客户 端 计算 机 上 无 法 正确 显示 

客户 端 计算 机 上 的 | 安装 完 导出 的 软件 包 之 后 ,在 客户 端 计算 机 上 的 “用 户 信息 ”对 话 框 中 提供 反馈 

“用 户 信 息 ” 对 话 框 时 ,不 要 使 用 双 字 节 字 符 或 h-ASCI 字符 

启用 SQL Server 中 使 用 SQL Server 数据 库 的 双 字 节 、hi-ASCII 或 混合 语言 环境 需要 启用 批 处 理 

的 118 es 

n 支持 


管理 员 可 以 在 SQL Server 中 启用 Il8n 支持 


(3) 单 击 “ 下 一 步 ” 按 钮 ,开始 制作 安装 包 , 完 成 后 会 提示 是 否 立即 部 署 到 远程 客户 端 ， 
如 果 选 中 “是 " 单 选 按 钮 , 则 完成 向 导 后 将 立即 开始 在 远程 计算 机 上 安装 SEP 客户 端 。 单 击 
“完成 ”按钮 ,关闭 “迁移 和 部 署 向 导 ” 即 可 ,上 默认 情况 下 将 自动 启动 *Symantec Endpoint 
Protection Manager 控制 台 ”, 显 示 如 图 5-10 所 示 的 登录 窗口 。 
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图 5-10 登录 SEP Manager 控制 台 
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5.3.5 知识 链接 : SEP 


1. SEP 

SEP(Symantec Endpoint Protection ,Symantec 端点 保护 ) 是 Symantec 公司 推出 的 新 
一 代 企 业 版 网 络 安全 防护 产品 , 它 将 Symantec AntiVirus 与 高 级 威胁 防御 功能 相 结合 ,可 
以 为 笔记 本 电脑 .台式 机 和 服务 器 提供 安全 防护 能 力 。 新 一 代 Symantec 代 安 全 防护 产品 
主要 包括 SEP 和 SNAC(Symantec Network Access Control,Symantec 端点 网 络 访问 控制 ) 
两 种 。 其 中 ,SEP 产品 提供 了 功能 强大 的 SEP Manager, 可 以 帮助 管理 员 快 速 完成 网 络 安 
全 的 统一 部 署 和 管理 。 

SEP 可 保护 端点 计算 设备 不 受 病 毒 威胁 和 风 


险 侵袭 ,并 为 端点 计算 机 提供 3 层 防护 ,分别 是 网 络 i 
威胁 防护 ,主动 型 威胁 防护 以 及 防 病毒 和 防 间谍 软 

件 防护 ,如 图 5-11 所 示 。 网 络 威胁 防护 通过 使 用 规 主动 型 威胁 防护 

则 和 特征 ,可 禁止 威胁 访问 被 保护 计算 机 。 主 动 型 

威胁 防护 可 根据 威胁 的 行为 ,标识 并 降低 威胁 。 防 人 
病毒 和 防 间谍 软件 防护 使 用 Symantec 创建 的 特 3 

征 ,识别 并 削弱 尝试 访问 或 已 访问 被 保护 计算 机 的 


威胁 。 图 5-11 SEP 的 3 层 防 护 示 意图 
(1) 网 络 威胁 防护 


网 络 威胁 防护 包括 防火 墙 和 入 侵 防护 软件 ,可 保护 端点 计算 设备 。 防 火 墙 支持 为 特定 端 
口 和 特定 应 用 程序 写 入 的 规则 ,并 对 所 有 网 络 通信 使 用 状态 检查 。 因 此 ,对 于 由 客户 端 发 起 的 
所 有 网 络 通信 ,只 需要 创建 出 站 规则 即 可 支持 该 通信 。 状 态 检 查 会 自动 允许 响应 出 站 通信 的 
返回 通信 。 防 火 墙 完全 支持 TCP.UDP、ICMP 和 所 有 全 协议 (如 ICMP 和 RSVP)。 防 火 墙 还 支 
持 以 太 网 和 令 牌 环 协议 , 且 可 以 禁止 协议 驱动 程序 ,如 VMware 和 WinPcap。 防 火 墙 可 自动 识 
别 合法 的 DNS.DHCP 和 WINS 通信 ,因此 可 以 选中 复 选 框 以 允许 此 通信 ,而 不 写 入 规则 。 

入 侵 防 护 引 擎 支持 检查 端口 扫描 和 拒绝 服务 攻击 .并 可 阻挡 缓冲 区 溢出 攻击 。 此 引擎 
也 支持 自动 禁止 来 自 受 感染 计算 机 的 恶意 通信 。 入 侵 检测 引擎 支持 深度 数据 包 检 查 、 正 则 
表达 式 ,并且 可 让 用 户 创建 使 用 类 似 Snort 格式 的 自 定义 特征 。 

(2) 主动 型 威胁 防护 

主动 型 威胁 防护 可 根据 计算 机 上 进程 的 行为 识别 威胁 ,例如 ,蠕虫 .病毒 .特洛伊 木马 ， 
以 及 记录 键盘 记录 程序 。TruScan 主动 型 威胁 扫描 根据 这 些 威胁 的 行为 和 特性 (而 不 是 根 
据 传 统 的 安全 特征 ) 来 识别 它们 。 主 动 型 威胁 扫描 会 针对 数 百 种 的 检测 模块 分 析 威 胁 的 行 
为 ,以 确定 活动 的 进程 是 安全 的 还 是 具有 恶意 的 。 此 项 技术 可 以 在 不 使 用 传统 特征 码 或 补 
丁 程 序 的 情况 下 ,通过 威胁 的 行为 立即 检测 和 降低 未 知 的 威胁 。 

在 支持 的 32 位 操作 系统 上 ,主动 型 威胁 防护 还 可 控制 对 硬件 设备 ,文件 和 注册 表 的 读 取 、 
写 人 和 执行 访问 。 用 户 可 以 通过 类 ID 禁用 外 围 设备 (例如 USB、 蓝 牙 . 红 外 线 、.FireWire、 串 
口 、 并 口 .SCSI 和 PCMCIA) 。 

(3) 防 病毒 和 防 间谍 软件 威胁 防护 

防 病毒 和 防 间 谍 软 件 威胁 防护 通过 扫描 引导 扇 区 、 内 存 与 文件 ,看 其 中 是 否 有 病毒 、 间 
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谍 软 件 和 安全 风险 ,防止 计算 机 受 感染 。 防 病毒 和 防 间谍 软件 威胁 防护 使 用 病毒 和 安全 风 
险 特征 ,可 在 病毒 定义 文件 中 找到 这 些 特征 。 此 防护 通过 在 不 造成 计算 机 不 稳定 的 情况 下 ， 
在 安全 风险 安装 前 先 予 以 禁止 ,也 可 保护 计算 机 。 

防 病毒 和 防 间谍 威胁 防护 包括 自动 防护 ,可 检测 尝试 访问 内 存 或 自行 安装 的 病毒 和 安 
全 风险 。 自 动 防护 也 会 扫描 安全 风险 ,如 广告 软件 和 间谍 软件 。 当 它 发 现 安全 风险 时 ,会 将 
受 感染 文件 隔离 ,或 者 消除 和 弥补 安全 风险 的 负面 影响 。 也 可 以 在 自动 防护 中 禁用 安全 风 
险 扫描 。 自 动 防护 可 修复 复杂 的 风险 ,例如 ,隐藏 用 户 模式 风险 (Rootkit) 。 自 动 防护 还 可 
修复 难以 删除 或 者 会 重新 自我 安装 的 永久 性 安全 风险 。 

防 病毒 和 防 间 谍 软 件 威胁 防护 也 包括 自动 防护 ,通过 监控 所 有 POP3 和 SMTP 通信 ， 
扫描 Internet 电子 邮件 程序 。 用 户 可 以 配置 防 病毒 和 防 间谍 软件 威胁 防护 ,使 其 扫描 传人 
消息 是 否 有 威胁 和 安全 风险 ,以 及 扫描 传 出 消息 是 否 进行 已 知 启发 式 扫 描 。 扫 描 传 出 电子 
邮件 有 助 于 阻止 威胁 (如 蠕虫 ) 的 传播 ,它们 可 以 使 用 电子 邮件 客户 端 在 网 络 上 进行 复制 。 

2. SEP Manager 

SEP Manager 包含 Web 的 应 用 程序 ,因此 安装 之 前 必须 先 安装 IIS 组 件 。SEP Manager 
包括 一 个 圣人 式 数据 库 , 以 及 SEP Manager 控制 台 。 用 户 既 可 以 自动 安装 舱 入 式 数据 库 ， 
也 可 以 将 数据 库 指定 到 Microsoft SQL Server 2000/2005 实例 中 。 如 果 支 持 业 务 的 网 络 属 
于 小 型 网 络 , 且 位 于 一 个 地 理 位 置 ,那么 只 需要 安装 一 个 SEP Manager。 如 果 网 络 分 散在 
不 同 地 点 , 则 可 能 需要 安装 额外 的 SEP Manager, 以 用 于 负载 平衡 和 带宽 分 配 。 如 果 网 络 
规模 庞大 , 则 需要 安装 带 有 附加 数据 库 的 额外 SEP Manager 站 点 ,并 将 其 配置 为 通过 复制 
共享 数据 。 

(1) SEP Manager 的 工作 方式 

用 户 可 以 根据 需要 将 客户 端 安装 为 受 管 客户 端 或 非 受 管 客 户 端 。 受 管 网 络 可 充分 利用 
网 络 的 功能 。 网 络 上 的 每 个 客户 端 和 服务 器 都 可 通过 运行 SEP Manager 的 一 台 计 算 机 进行 
监控 ,配置 和 更 新 。 用 户 也 可 以 从 SEP Manager 控制 台 安装 和 升级 SEP 与 SNAC 客户 端 。 

在 非 受 管 网 络 中 ,必须 单独 管理 每 台 计算 机 ,或 将 管理 职责 转交 给 该 计算 机 的 主要 用 
户 。 对 于 信息 技术 资源 有 限 或 荐 乏 的 小 型 网 络 ,应 采用 这 种 方法 ,相关 职责 如 下 。 

J@ 更 新 病毒 及 安全 风险 定义 。 

@ 配置 防 病毒 及 防火 墙 设置 。 

@ 定期 升级 或 迁移 客户 端 软件 。 

注意 : 如 果 要 允许 用 户 更 改 客户 端 设置 ,建议 最 好 将 客户 端 安装 于 受 管 环境 中 。 

在 受 管 网 络 中 ,用 户 可 以 将 客户 端 计 算 机 分 成 组 。 使 用 这 些 组 ,可 将 需要 相似 访问 级 别 
和 配置 设置 的 客户 端 放 在 同一 组 。 用 户 可 以 选择 在 组 中 指定 不 同 的 位 置 设置 。 如 果 客 户 端 
是 从 不 同 的 位 置 访问 网 络 , 则 可 应 用 不 同 的 策略 。 还 可 以 从 SEP Manager 控制 台 创 建 、 查 
看 和 配置 组 。 

(2) SEP Manager 的 功能 

使 用 SEP Manager 可 执行 下 列 操作 。 

中 建立 和 强制 实施 安全 策略 。 

@ 防止 受到 病毒 .混合 型 威胁 以 及 安全 风险 (如 广告 软件 和 间谍 软件 ) 的 侵害 。 

@ 利用 集成 的 管理 控制 台 来 管理 病毒 防护 的 部 署 .配置 .更 新 和 报告 。 
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@ 防止 用 户 访问 计算 机 的 硬件 设备 ,例如 USB 驱动 器 。 

@ 利用 集成 的 管理 控制 台 来 管理 病毒 防护 、 防 火 墙 防护 和 入侵 防护 的 部 署 . 配 置 .更 新 
和 报告 。 

管理 客户 端 及 其 位 置 。 

@ 标识 过 期 的 客户 端 ,迅速 应 对 病毒 爆发 ,并 部 署 更 新 的 病毒 定义 。 

@ 创建 和 维护 详细 描述 网 络 中 发 生 的 重要 事件 的 报告 。 

@ 为 连接 到 网 络 的 所 有 用 户 提供 针对 安全 威胁 的 高 级 别 的 防护 和 集成 响应 。 此 防护 
覆盖 始终 保持 网 络 连接 的 远程 办 公 人 员 和 间 鞭 连接 到 网 络 的 移动 用 户 。 

@@ 获得 分 布 在 网 络 上 的 所 有 工作 站 的 多 个 安全 组 件 的 合并 视图 。 

@@ 对 所 有 安全 组 件 执行 可 定制 的 、 集 成 的 安装 并 同时 设置 策略 。 

@ 查看 历史 记录 和 日 志 数据 。 


5.4 安装 SEP 客户 端 


SEP 客户 端 可 分 为 非 受 管 客 户 端 和 受 管理 客户 端 , 其 中 受 管理 客户 端 可 以 通过 SEP 
Manager 远程 部 署 等 方式 安装 ,也 可 以 在 客户 端 上 使 用 管理 服务 器 创建 的 安装 包 安装 ,安装 
完成 后 将 自动 添加 到 指定 组 中 ,并 接受 服务 器 的 统一 管理 。 而 非 受 管 客 户 端 则 可 以 通过 安 
装 光盘 完成 ,虽然 同样 可 以 被 添加 到 服务 器 控制 台中 ,但 不 接受 服务 器 的 管理 。 需 要 注意 的 
是 ,SEP 在 安装 过 程 中 需要 至 少 700MB 的 硬盘 空间 ,如 果 空 间 不 足 , 将 导致 安装 失败 。 


5.4.1 安装 受 管理 客户 端 


用 户 可 以 通过 多 种 方式 安装 接受 统一 管理 的 SEP 客户 端 ,常用 的 有 如 下 两 种 。 

1. 迁移 和 部 署 向 导 的 “ 推 " 式 安装 

在 创建 客户 端 安装 包 过 程 中 可 以 同时 将 定制 完成 的 安装 程序 部 署 到 客户 端 ,也 可 以 选 
择 创建 完成 后 保存 到 服务 器 上 ,需要 部 署 时 再 通过 “迁移 和 部 署 向 导 " 完 成 。 需 要 注意 的 是 ， 
Windows Vista 系统 中 的 用 户 访问 控制 (UAC) 功 能 禁止 本 地 管理 账户 远程 访问 远程 管理 共 
享 , 如 C$ 和 ADMIN $ ,使 用 该 方式 部 署 时 应 将 其 关闭 。 接 下 来 ,介绍 一 下 如 何 使 用 现 有 
安装 包 部 署 受 管理 客户 端 。 

51) 启动 “迁移 和 部 署 向 导 ”, 连 续 单 击 SE 
“下 一 步 ” 按 钮 ,直至 显示 如 图 5-12 所 示 对 话 0 
框 ,选中 “选择 现 有 客户 端 安 装 软件 包 以 进行 了 
部 署 ? 单 选 按钮 。 

(2) 单 击 “ 完 成 "按钮 ,显示 “ 推 式 部 署 向 人 
导 ” 对 话 框 , 单 击 “ 浏 览 ” 按 钮 ,选择 已 经 创建 
完成 的 安装 程序 所 在 目录 ,在 “指定 并 行 部 署 
数量 上 限 ” 文 本 框 中 输入 相应 的 值 (以 管理 服 
务 器 性 能 而 定 ) ,默认 为 10 个 。 单 击 * 下 一 步 ” 
按钮 ,在 “可 用 计算 机 ”列表 中 ,展开 Microsoft 
Windows Network 一 “工作 组 名 或 域名 ”并 选 图 5-12 选择 部 署 方式 


td ladle 


Ba 
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择 希 望 添 加 作为 客户 端的 计算 机 ,如 图 5-13 所 示 。 


到 


图 5-13 ”选择 安装 包 路 径 和 要 部 署 的 计算 机 


提示 : 如 果 本 地 计算 机 上 的 “Computer Browser 服务 ”没有 启动 , 则 无 法 展开 Microsoft 
Windows Network 下 的 计算 机 列表 。 如 果 “Windows 防火 墙 ” 的 “例外 ”列表 中 没有 对 “文件 
和 打印 机 共享 ”启用 例外 , 则 该 服务 将 无 法 启动 。 

注意 : 第 一 次 部 署 客户 端 时 必须 确保 已 经 包含 本 地 计算 机 , 即 必须 先 为 本 地 计算 机 安 
装 SEP 客户 端 ,否则 SEP Manager 控制 台中 将 无 法 发 现 已 部 署 的 SEP 客户 端 。 

(3) 单 击 “ 添 加 ”按钮 ,显示 如 图 5-14 所 示 的 “远程 客户 端 验证 ”对 话 框 ,在 “用 户 名 ”和 
“密码 ”文本 框 中 输入 远程 登录 目标 计算 机 时 使 用 的 账户 信息 , 单 击 “ 确 定 ” 按 钮 即 可 将 其 添 
加 到 “要 部 署 到 的 计算 机 ”列表 中 。 重 复 操作 可 以 同时 添加 多 个 客户 端 。 

提示 : 如 果 远 程 计算 机 上 没有 开启 网 络 共享 ,或 者 启用 了 Windows 防火 墙 , 则 此 处 可 
能 无 法 正常 添加 计算 机 ,会 出 现 “ 无 任何 网 络 提 供 程 序 接受 指定 的 网 络 路 径 ” 类 似 信息 。 此 
时 只 需 开启 防火 墙 和 系统 共享 (尤其 是 系统 默认 共享 ) 即 可 。 如 果 目 标 计算 机 是 Windows 
Server 2008 Server Core 系统 , 则 可 以 执行 如 下 命令 将 共享 添加 到 Windows 防火 墙 允 许 的 
应 用 程序 中 : 


netsh firewall set service fileandprint enable 


(4) 添加 完 所 有 需要 部 署 的 客户 端 后 , 单 击 “ 完 成 "按钮 , 即 可 开始 安装 ,显示 如 图 5-15 所 
示 的 “远程 客户 端 安装 状态 ?对 话 框 。 单 击 “ 关 闭 " 按 钮 即 可 关闭 对 话 框 ,提示 是 否 查看 部 署 
日 志 。 如 果 并 发 部 署 的 客户 端 较 多 , 则 可 能 由 于 服务 器 性 能 导致 部 分 客户 端 无 法 正常 完 
此 时 即 可 通过 部 署 日 志 确 定 完成 情况 。 


各 时 坟 态 - 了 
可 [| 
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图 5-14 “远程 客户 端 验证 ?对 话 框 图 5-15 “远程 客户 端 安装 状态 ”对 话 框 
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至 此 ,管理 服务 器 上 的 远程 部 署 工 作 已 完成 ,客户 端 将 开始 自动 安装 ,安装 完成 后 将 提 
示 用 户 是 否 立 即 重 新 启动 计算 机 和 更 新 病毒 库 , 按 照 要 求 操作 即 可 。 

2. 使 用 “查找 非 受 管 计算 机 ”部 署 

管理 员 可 使 用 SEP Manager 控制 台中 的 “查找 非 受 管 计算 机 ”部 署 客 户 端 软件 。 使 用 
此 实用 程序 ,可 以 扫描 没有 运行 客户 端 软件 的 客户 端 计算 机 ,然后 在 这 些 计算 机 上 安装 客户 
端 软件 。 

(1) 登录 到 “Symantec Endpoint Protection Manager 控制 台 ”, 单 击 左 侧 “客户 端 " 标 签 ， 
在 “任务 ?列表 中 单 击 “查找 非 受 管 计 算 机 ?链接 ,显示 如 图 5-16 所 示 的 “查找 非 受 管 计算 机 ” 
对 话 框 。 在 “搜索 依据 ”选项 区 域内 选中 “IP 地 址 范围 ” 单 选 按钮 ,并 设置 起 止 IP 地 址 。 在 
“登录 证 书 ” 选 项 区 域 ,输入 登录 客户 端 计算 机 的 凭证 及 所 在 工作 组 或 域 。 单 击 “ 立 即 搜索 ” 
按钮 即 可 开始 搜索 ,搜索 结果 将 显示 在 “ 非 受 管 计算 机 ”和 “未 知 的 计算 机 ”列表 中 ,默认 显示 
“ 非 受 管 计算 机 ”。 
te a 二 副 地 
BMy Company 
I EE El 


图 5-16 “查找 非 受 管 计算 机 ”对 话 框 


提示 :“ 非 受 管 计算 机 ”列表 中 显示 的 是 安装 非 受 管 客户 端的 计算 机 ,或 者 曾经 安装 过 
客户 端 但 现在 已 经 部 载 的 ;“ 未 知 的 计算 机 ”列表 中 显示 的 是 当前 网 络 中 所 有 没有 部 署 SEP 
客户 端的 计算 机 。 

(2) 选中 希望 部 署 的 对 象 ,并 在 “安装 ?选项 区 域 设置 相应 的 安装 选项 。 在 “客户 端 安装 
软件 包 ” 下 拉 列 表 框 中 选择 适用 的 安装 包 类 型 ,包括 32 位 和 64 位 两 种 ,分 别 用 于 不 同 的 系 
统 平台 ;“ 安 装 设置 "选项 保持 系统 默认 值 即 可 ; 在 “功能 "下 拉 列 表 框 中 可 以 定制 客户 端的 
基本 功能 ,选择 “Symantec Endpoint Protection 的 所 有 功能 ” 即 可 。 上 默认 情况 下 ,被 部 署 的 
客户 端 将 自动 分 配 到 Default Group 组 中 , 单 击 更改” 按钮 ,可 以 选择 想 要 添加 到 的 组 (如 
coolpen) 。 


(3) 单 击 “ 开 始 安装 ”按钮 即 可 开始 将 SEP 客户 端 * 推 "安装 到 目标 计算 机 上 。 完 成 后 显 


第 5 章 网 络 病毒 防 条 


示 如 图 5-17 所 示 结 果 ,“ 部 署 状态 ”显示 为 “成 功 ” 即 表明 客户 端 安装 成 功 。“ 推 ”安装 过 程 
中 ,客户 端 不 会 提示 任何 信息 ,在 安装 完成 后 , 才 会 提示 用 户 升级 病毒 库 。 
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图 5-17 部 署 成 功 


5.4.2 部 署 非 受 管 客 户 端 


SEP 非 受 管 客户 端的 部 署 通常 是 借助 安装 光盘 完成 的 ,安装 过 程 并 不 复杂 ,而 对 于 
Windows Server 2008 Server Core 系统 而 言 ,由 于 系统 仅 提 供 了 命令 行 界面 ,必须 借助 相关 
命令 完成 客户 端的 部 署 ,对 于 不 熟悉 命令 操作 的 管理 员 而 言 , 可 能 会 有 点 难度 。 

1. 部 署 Windows Vista 非 受 管 客户 端 

以 Windows Vista 系统 为 例 , 通 过 安装 光盘 部 署 SEP 非 受 管 客户 端的 操作 步骤 如 下 。 

(1) 插入 SEP 安装 光盘 ,光盘 自动 运行 显示 如 图 5-18 所 示 的 “Symantec Endpoint 
Protection 安装 程序 ?对 话 框 。 如 果 未 能 自动 运行 ,可 以 在 “资源 管理 器 "中 运行 光盘 根 目录 
下 的 setup. exe 文件 启动 安装 程序 。 

(2) 单 击 “ 安 装 Symantec Endpoint Protection” 按 钮 启动 SEP 安装 向 导 ,需要 接受 相关 
的 许可 协议 ,连续 单 击 “ 下 一 步 ” 按 钮 ,选中 “ 非 受 管 客户 端 " 单 选 按钮 即 可 。 单 击 “ 下 一 步 ” 按 
钮 ,系统 默认 选中 “典型 " 单 选 按 钮 ,也 可 以 根据 需要 选中 “ 自 定义 ” 单 选 按钮 ,并 选择 欲 安 装 
的 安全 防护 功能 ,建议 系统 默认 设置 ,如 图 5-19 所 示 。 

(3) 单 击 “ 下 一 步 ” 按 钮 ,显示 “准备 安装 程序 ”对 话 框 ,提示 向 导 已 准备 好 ,可 以 开始 安 
装 。 单 击 “ 安 装 ” 按 钮 即 可 开始 安装 ,由 于 SEP 客户 端 中 集成 的 功能 和 组 件 比 较 多 ,可 能 需 
要 较 长 的 安装 时 间 。 安 装 完成 后 ,显示 如 图 5-20 所 示 的 “InstallShield 向 导 完 成 ”对 话 框 。 

(4) 单 击 “ 完 成 ”按钮 ,关闭 安装 向 导 。 上 默认 情况 下 ,将 自动 启动 LiveUpdate 向 导 更 新 
病毒 库 。 最 后 ,系统 会 提示 如 图 5-21 所 示 的 “重新 启动 通知 ”对 话 框 ,提示 必须 重新 启动 计 
算 机 方 可 使 SEP 的 配置 生效 。 
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0 Symantec™~Endpoint Protection 


请 先 阅 读 此 内 容 
提要 和 轩 答 、 广 怕 及 支持 信息 96 术 。 


安装 站 Eelnt Protoction Nenager 
芒 六 六 Protection 


退出 


图 5-18 “Symantec Endpoint Protection 图 5-19 设置 客户 端 类 型 和 安装 类 型 
安装 程序 ”对 话 框 


图 5-20 “InstallShield 向 导 完成 ”对话 框 图 5-21 “重新 启动 通知 "对话 框 


(5) 重新 启动 计算 机 后 , 即 可 完成 非 受 管 客户 端的 安装 。Windows 2000/XP/2003/ 
2008 系统 的 安装 步骤 与 此 类 似 , 这 里 不 再 缆 述 。 

2. 在 64 位 Windows Server 2008 Server Core 上 安装 非 受 管 SEP 客户 端 

(1) 插入 SEP 安装 光盘 , 转 到 光盘 根 目 录 下 ,并 执行 如 下 命令 转 入 安装 程序 所 在 目录 : 


cd SEPWIN64\ X64 
(2) 执行 如 下 命令 : 
vcredist_x64. exe 


(3) 转 回 安装 光盘 的 根 目录 ,输入 setup. exe 并 按 Enter 键 , 即 可 启动 安装 向 导 , 借 助 该 
向 导 即 可 顺利 完成 64 位 SEP 客户 端的 部 署 。 

提示 : 如 果 是 32 位 Windows Server 2008 Server Core 系统 的 计算 机 , 则 直接 在 命令 提 
示 符 窗口 中 , 转 入 安装 光盘 根 目 录 下 ,执行 setup. exe 文件 即 可 启动 安装 向 导 。 
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5.5 升级 病毒 库 


杀毒 软件 是 根据 提取 的 病毒 特征 来 判断 文件 是 否 是 病毒 程序 的 ,升级 病毒 库 就 是 不 断 
的 更 新 能 够 识别 的 病毒 特征 ,增强 杀毒 软件 与 系统 应 用 程序 之 间 的 兼容 性 。 通 常情 况 下 , 非 
受 管 客 户 端 将 每 天 自动 从 Symantec LiveUpdate 站 点 升级 病毒 库 。 在 新 一 代 Symantec 安 
全 防御 系统 中 ,新 增 了 LiveUpdate 管理 服务 器 ,主要 为 大 型 网 络 (超过 5000 个 端点 ) 提 供 客 
户 端 病毒 库 升 级 管理 。 


5.5.1 安装 LiveUpdate 管理 工具 


在 安装 LiveUpdate 管理 工具 之 前 ,必须 先 在 服务 器 上 安装 Java SE 程序 ,否则 无 法 安 
装 。 可 以 从 Java 官方 网 站 下 载 ,地 址 为 : http://www. java. com。 

(1) 运行 SEP 第 二 张 光盘 ,自动 运行 后 在 安装 程序 界面 中 单 击 “ 安 装 LiveUpdate 
Administrator” 按 钮 ,启动 Symantec LiveUpdate Administrator 安装 向 导 , 连 续 单 击 “下 一 
步 "按钮 ,阅读 并 接受 许可 证 协议 ,在 “目的 地 文件 夹 ” 对 话 框 中 设置 Symantec LiveUpdate 
Administrator 2. 2. 1 的 安装 目录 ,通常 保持 默认 即 可 ,如 图 5-22 所 示 。 

(2) 单 击 * 下 一 步 按 钮 ,显示 如 图 5-23 所 示 的 “用 户 设置 "对话 框 , 要 求 设 置 默 认 管 理 
员 的 用 户 名 、 密 码 和 电子 邮件 地 址 。 该 账户 用 来 登录 Symantc LiveUpdate Administrator 
控制 台 和 管理 LiveUpdate。 


| 划 
用 户 和 村 
间 击 下 一 步 志 灶 此 文件 顽 ， 歌 间 击 "小雪 下 到 祥 件 雪 。 【3 E90e Fen" 二 器 
(CY Smee ere sgh 
Crogan Fles ymentec WveUpdete Admnevater\ Wk rie 
ee ee > ea 
下: 
mopeouapmeecbvapaeiamwamnipombuat op i me em 
注意 村 下 站 折 其 杂 在 此 位置， 再 二 发 
to ui is 
< 上 -sml | T-#o0> |[ RN] < 上 ~ Li 
图 5-22 “目的 地 文件 夹 ” 对 话 框 图 5-23 “用 户 设置 "对话 框 


(3) 连续 单 击 “下 一 步 "按钮 , 即 可 开始 安装 。 安 装 完成 后 单 击 “ 完 成 ”按钮 ,LiveUpdate 
管理 工具 安装 完成 。 


5.5.2 配置 更 新 


Symantec LiveUpdate Administrator 安装 完成 以 后 ,需要 根据 网 络 中 已 安装 的 Symantec 产 
品 情况 ,添加 需要 下 载 更 新 的 产品 。 

1. 登录 Symantec LiveUpdate Administrator 

(1) 依次 选择 “开始 ”一 “所 有 程序 ”Symantec LiveUpdate Administrator 玉 LiveUpdate 
Administrator 2. 1 选项 ,显示 如 图 5-24 所 示 的 “登录 ”窗口 。 分 别 在 “用 户 名 ”和 “密码 ”文本 
框 中 输入 安装 时 设置 的 管理 员 用 户 名 和 密码 。 
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图 5-24 “登录 ”窗口 


(2) 单 击 “ 登 录 ” 按 钮 登录 ,显示 如 图 5-25 所 示 的 Symantec LiveUpdate Administrator 窗 
口 。 默 认 显 示 “ 主 页 ”, 可 以 查看 最 近 的 活动 ,以 及 系统 信息 。 
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图 5-25 Symantec LiveUpdate Administrator 主页 


2. 配置 LiveUpdate 

在 “配置 ”窗口 中 ,可 以 添加 要 更 新 的 Symantec 产品 .配置 下 载 服务 器 等 。 

(1) 在 Symantec LiveUpdate Administrator 窗口 中 单 击 * 配 置 ?标签 ,可 以 添加 要 更 新 
的 产品 。 单 击 “ 添 加 新 产品 ”按钮 ,显示 “添加 到 我 的 Symantec 产品 ”窗口 。 在 “产品 线 ” 列 
表 中 ,可 以 选择 要 添加 的 产品 ,这 里 选择 Symantec Endpoint Protection。 在 窗口 下 方 的 “所 
有 产品 ?列表 中 ,可 以 选择 欲 添 加 的 产品 版 本 。 这 里 ,选择 “Symantec Endpoint Protection 
v11.0 中 文 版 (简体 )”, 如 图 5-26 所 示 。 


图 5-26 ”添加 Symantec 产品 


(2) 单 击 “确定 ”按钮 ,一 个 Symantec 产品 添加 成 功 , 如 图 5-27 所 示 。 如 果 网 络 中 还 安 
装 有 其 他 Symantec 产品 ,也 可 以 在 此 处 一 并 添加 。 


图 5-27 已 添加 的 Symantec 产品 


(3) 在 “配置 ?窗口 中 单 击 * 源 服务 器 "按钮 ,可 以 配置 Symantec 产品 的 更 新 下 载 服务 
器 ,如 图 5-28 所 示 。 默 认 从 Symantec 的 LiveUpdate 服务 器 下 载 。 

(4) 如 果 网 络 中 已 部 分 有 LiveUpdate 服务 器 , 则 可 从 本 地 的 LiveUpdate 服务 器 上 下 
载 ,以 节省 Internet 带宽 。 单 击 “ 添 加 ”按钮 ,显示 如 图 5-29 所 示 的 “新 建 源 服务 器 ”窗口 ,可 
以 添加 本 地 网 络 中 的 LiveUpdate 地 址 。 

3. 下 载 和 分 发 

(1) 单 击 “下 载 和 分 发 ”标签 ,在 显示 的 窗口 中 单 击 * 添 加 下 载 ? 按 钮 ,显示 如 图 5-30 所 
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图 5-29 “新 建 源 服务 器 ”窗口 


示 的 “添加 下 载 调度 ”窗口 , 即 可 开始 添加 下 载 调度 计划 。 在 “下 载 调度 名 称 ” 文 本 框 中 输入 
一 个 名 称 , 在 “状态 ”下 拉 列 表 框 中 选择 “已 启用 ”选项 。 在 “选择 产品 ”选项 区 域 中 ,需要 添加 
和 欲 下 载 的 产品 。 单 击 * 添 加 ?按钮 ,选择 要 添加 的 产品 即 可 。 

(2) 单 击 “ 添 加 ”按钮 ,将 所 选择 的 产品 添加 到 “添加 下 载 调度 "窗口 中 。 然 后 ,在 “选择 
产品 组 件 ” 选 项 区 域 中 ,选择 要 添加 的 组 件 。 并 在 “选择 调度 ”选项 区 域 中 ,选择 计划 的 执行 
频率 。 完 成 后 单 击 “ 确 定 ” 按 钮 ,一 个 下 载 调度 添加 完成 ,如 图 5-31 所 示 。 

(3) 如 果 要 立即 运行 下 载 调度 ,以 下 载 更 新 ,可 选择 调度 名 称 , 单 击 “ 立 即 运 行 ”按钮 , 即 
可 开始 下 载 更 新 ,并 显示 “活动 监视 器 "窗口 ,显示 了 当前 的 下 载 信息 。 在 列表 框 中 ,显示 了 
已 下 载 和 正在 下 载 的 组 件 , 如 图 5-32 所 示 。 

(4) 下 载 更 新 完成 以 后 , 即 可 将 更 新 分 发 到 客户 端 。 实 施 分 发 之 前 还 需要 创建 一 个 分 
发 调度 ,在 “下 载 和 分 发 "窗口 中 , 单 击 “ 添 加 分 发 "按钮 ,显示 “添加 分 发 调度 ”窗口 ,用 来 添加 
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图 5-31 下 载 调度 添加 完成 


分 发 调度 。 在 “分 发 调度 名 称 ” 文 本 框 中 输入 一 个 名 称 ,在 “状态 ”下 拉 列 表 框 中 选择 “已 启 
用 ”选项 。 在 “分 发 可 用 于 此 产品 列表 的 更 新 ”选项 区 域 中 , 单 击 “ 添 加 ”按钮 ,可 以 选择 要 添 
加 的 产品 ; 在 “选择 产品 组 件 ” 选 项 区 域 中 ,选择 要 添加 的 组 件 ; 在 “选择 调度 ”选项 区 域 中 ， 
选择 计划 的 执行 频率 。 完 成 后 单 击 “ 确 定 ” 按 钮 ,一 个 下 载 调度 添加 完成 ,如 图 5-33 所 示 。 

(5) 单 击 “ 分 发 中 心 ” 按 钮 ,可 以 设置 分 发 中 心 的 地 址 。 上 默认 情况 下 ,LiveUpdate 已 经 创 
建 了 两 个 分 发 中 心 , 即 生产 分 发 中 心 和 测试 分 发 中 心 , 并 且 均 没有 添加 任何 产品 。 如 果 要 向 
客户 端 分 发 时 ,必须 先 向 分 发 中 心 添加 更 新 ,否则 不 能 分 发 。 默 认 已 经 创建 了 产品 和 测试 分 
发 中 心 。 当 客户 端 需要 更 新 时 ,就 需要 从 该 分 发 中 心 下 载 更 新 程序 ,如 图 5-34 所 示 。 

(6) 选中 Default Production Distribution Center 复 选 框 , 单 击 “ 编 辑 ” 按 钮 ,显示 “编辑 
分 发 中 心 ”窗口 。 在 “产品 列表 ”选项 区 域 中 ,选择 欲 添加 到 分 发 中 心 的 Symantec 产品 ,如 
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图 5-34 “分 发 中 心 ”窗口 
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图 5-35 所 示 。 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 分 发 中 心 ”窗口 ,产品 添加 完成 。 单 击 “ 确 定 ” 按 
钮 保存 即 可 。 此 时 ,就 可 以 向 客户 端 分 发 更 新 了 。 


6 


Defa Production peibuhe Hesp:/N i:7070/chs-prod 


图 5-35 “编辑 分 发 中 心 ”窗口 


提示 : 如 果 不 添 加 产品 , 则 无 法 向 客户 端 分 发 更 新 。 
(7) 在 打开 的 “下 载 和 分 发 窗口 中 ,选择 已 创建 的 分 发 调度 , 单 击 * 立 即 运行 ?按钮 , 即 
可 开始 向 客户 端 分 发 更 新 ,如 图 5-36 所 示 。 分 发 完成 后 , 单 击 “确定 ”按钮 即 可 。 
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5-36 正在 分 发 更 新 


5.5.3 配置 LiveUpdate 策略 


配置 LiveUpdate 策略 的 操作 步骤 如 下 。 
(1) 登录 到 “Symantec Endpoint Protection Manager 控制 台 ”, 单 击 * 策 略 ?按钮 ,在 左 侧 
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图 5-37 “LiveUpdate 策略 ”窗口 


(2) 选择 “LiveUpdate 设置 策略 ?选项 , 右 击 并 选择 快捷 菜单 中 的 “编辑 选项 , 显示 
“LiveUpdate 策略 ?对 话 框 。 在 左 侧 栏 中 选择 “服务 器 设置 选项 ,显示 如 图 5-38 所 示 的 “ 服 
务 器 设置 ”对话 框 。 选 中 “使 用 LiveUpdate 服务 器 " 单 选 按钮 ,并 选中 “使 用 指定 的 内 部 
LiveUpdate 服务 器 " 单 选 按钮 。 
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5-38 “服务 器 设置 ”对话 框 


(3) 单 击 “ 添 加 ”按钮 ,显示 如 图 5-39 所 示 的 “添加 LiveUpdate 服务 器 ”对 话 框 。 在 “ 服 
务 器 名 "文本 框 中 输入 LiveUpdate 服务 器 的 计算 机 名 。 在 URL 文本 框 中 输入 LiveUpdate 
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服务 器 的 地 址 ,格式 为 “http://LiveUpdate 服务 
器 名 : 7070”, 例如 http://symantec. coolpen. 
net:7070。 在 “用 户 名 和 密码 ”文本 框 中 输入 
LiveUpdate 服务 器 的 用 户 名 和 密码 。 

(4) 单 击 “ 确 定 ” 按 钮 ,添加 成 功 ,返回 “服务 
器 设置 "对话 框 。 继续 单 击 “ 确 定 ” 按 钮 ， 
LiveUpdate 策 略 设置 完成 。 当 在 客户 端 运行 
LiveUpdate 时 ,就 会 自动 连接 LiveUpdate 服务 
器 下 载 更 新 。 5-39 “添加 LiveUpdate 服务 器 ”对 话 框 


5.5.4 知识 链接 : LiveUpdate 


1. Symantec LiveUpdate 

LiveUpdate 是 一 种 使 用 防 病毒 定义 .人 侵 检 测 特征 .产品 补丁 程序 等 内 容 来 更 新 客户 
端 计 算 机 的 实用 程序 。 在 非 受 管 环境 中 ,客户 端 计算 机 上 的 LiveUpdate 通常 会 配置 为 直接 
连接 至 Symantec LiveUpdate 服务 器 。 在 中 小 型 网 络 的 受 管 环境 中 ,客户 端 计 算 机 上 的 
LiveUpdate 通常 会 配置 为 连接 到 SEP Manager。 在 大 型 受 管 网 络 中 ,通过 Internet 网 关 的 
带宽 节约 问题 可 能 非常 重要 。 当 这 些 问 题 确实 重要 时 ,可 以 安装 并 配置 一 台 或 多 台 
LiveUpdate 服务 器 来 下 载 更 新 。 然 后 ,用 户 可 以 将 更 新 分 发 到 管理 服务 器 ,或 直接 分 发 给 
客户 端 。 

2. LiveUpdate 体系 结构 

图 5-40 所 示 是 Symantec LiveUpdate 的 基本 体系 结构 。 通 过 配置 SEP 客户 端的 
LiveUpdate 选项 , 即 可 使 其 从 局 域 网 中 的 LiveUpdate 服务 器 获取 更 新 。LiveUpdate 服务 
器 可 以 通过 3 种 方式 为 SEP 客户 端 提供 更 新 ,依据 网 络 规模 选择 适当 的 方式 即 可 ,其 中 在 
SEP 客户 端 和 LiveUpdate 服务 器 之 间 增 加 代理 服务 器 的 方式 最 复杂 ,适用 于 客户 端 较 多 的 
大 型 企业 网 络 。 
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图 5-40 ” LiveUpdate 体系 结构 
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5.6 客户 端 管理 


部 署 网 络 防 病毒 系统 的 主要 目的 是 便于 实现 对 客户 端的 统一 管理 ,例如 软件 更 新 、 指 定 
扫描 计划 ,执行 病毒 扫描 与 查 杀 等 。 与 单机 防 病毒 软件 最 大 的 区 别 就 是 ,所 有 的 管理 操作 都 
可 以 由 管理 员 在 SEP Manager 控制 台 上 完成 ,而 客户 端 无 须 进行 任何 操作 ,甚至 不 会 影响 
客户 端的 正常 工作 。 


5.6.1 配置 管理 策略 


管理 员 对 SEP 客户 端的 管理 都 是 基于 策略 实现 的 ,默认 情况 下 所 有 客户 端 分 组 均 已 被 
应 用 默认 管理 策略 ,包括 LiveUpdate 功能 配置 、 防 病毒 软件 配置 .防火墙 配 置 等 。 管 理 员 可 
以 通过 更 改 默认 策略 ,或 者 创建 并 应 用 新 的 策略 ,启用 所 需 的 管理 方式 。 

(1) 在 SEP Manager 控制 台 窗 口中 , 单 击 “ 客 户 端 "标签 ,打开 “查看 客户 端 "窗口 ,选中 
希望 配置 管理 策略 的 客户 端 组 ,切换 至 “策略 ?选项 卡 , 显 示 如 图 5-41 所 示 的 窗口 。 默 认 情 
况 下 ,系统 已 经 自动 选中 “从 父 组 "My Company" 继 承 策略 和 设置 " 复 选 框 ,建议 将 其 取消 。 
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| Symantec™ Endpoint Protection Manager i 于 可 耻 和 
Fcoolpen 
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全 卫 和 玫 上 | 队 作 于 亲人 人 等 2009 儿 12A10 日 下 oom 


图 5-41 “策略 ”选项 卡 


(2) 在 * 特 定 于 位 置 的 策略 与 设置" 列表 中 单 击 希 望 配置 的 策略 ,例如 * 防 病毒 和 防 间谍 
软件 策略 ", 显 示 如 图 5-42 所 示 的 “编辑 策略 ”对话 框 。 提 示 该 默认 策略 是 共享 策略 ,可 能 同 
时 应 用 于 多 个 组 ,如 果 直 接 单 击 “ 编 辑 共享 "按钮, 则 将 cozy 
直接 修改 策略 ,并 将 修改 结果 应 用 于 其 他 客户 端 组 。 @ Sa Scanaonenean 
如 果 单 击 “使 用 副本 创建 非 共享 策略 ”按钮 , 则 仅 对 策 CCC 
略 副本 进行 修改 ,修改 结果 也 仅 应 用 于 当前 组 。 

(3) 单 击 * 使 用 副本 创建 共享 策略 "按钮 ,显示 如 
图 5-43 所 示 的 “ 防 病毒 和 防 间谍 软件 策略 "对 话 框 .在 “概述 ”选项 卡 中 显示 了 策略 名 称 和 相 
关 说 明 信 息 。 选 择 * 管 理 员 定义 的 扫描 ?选项 ,在 “扫描 * 选 项 卡 中 显示 了 默认 的 扫描 调度 ,并 
且 已 启用 。 
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图 5-43 “ 防 病毒 和 防 间谍 软件 策略 ”对 话 框 


(4) 单 击 “ 添 加 ”按钮 ,显示 “添加 调度 扫描 "对话 框 ,选中 “创建 新 的 调度 扫描 " 单 选 按 
钮 , 单 击 “ 确 定 ” 按 钮 ,显示 如 图 5-44 所 示 的 “扫描 详细 信息 ”选项 卡 。 在 “扫描 名 称 ”文本 框 
中 输入 新 调度 扫描 的 名 称 ,在 “扫描 类 型 "下 拉 列 表 框 中 选择 “全 面 扫描 ”选项 ,可 用 的 扫描 类 
型 包括 * 全 面 扫描 “活动 扫描 ”和 * 自 定义 扫描 ”。 

(5) 单 击 “调度 "标签 ,显示 如 图 5-45 所 示 的 “调度 ”选项 卡 ,配置 执行 扫描 的 频率 和 具 
体 时 间 ,以 及 错过 调度 扫描 后 重新 执行 扫描 的 时 间 。 例 如 ,此 处 设置 为 每 天 下 午 5 点 执行 客 
户 端 扫 描 , 如 果 客 户 端 关 机 , 则 在 16 小 时 之 后 重 试 扫描 。 
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图 5-44 “扫描 详细 信息 ”选项 卡 图 5-45 “调度 ”选项 卡 
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(6) 单 击 “ 操 作 ” 标 签 ,显示 如 图 5-46 所 示 的 “操作 ”选项 卡 , 可 以 设置 针对 各 种 病毒 的 
处 理 操 作 , 默 认 的 第 一 操作 为 “清除 风险 ”, 如 果 清 除 风险 失败 , 则 还 会 尝试 “隔离 风险 ”, 避 免 
其 感染 其 他 文件 。 

(7) 单 击 “ 通 知 ” 标 签 , 显 示 如 图 5-47 所 示 的 “通知 ”选项 卡 , 选 中 “在 受 感染 的 计算 机 上 
显示 通知 消息 ” 复 选 框 。 如 果 扫 描 过 程 中 发 现 客户 端 计算 机 上 的 病毒 , 则 显示 相关 提示 信 
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图 5-46 “操作 ”选项 卡 图 5-47 “通知 ”选项 卡 


(8) 连续 单 击 “ 确 定 ” 按 钮 ,保存 设置 并 返回 “ 防 病毒 和 防 间 谍 软 件 策 略 ” 对 话 框 ,可 以 继 
续 设置 相关 的 其 他 操作 ,操作 过 程 与 此 类 似 。 其 他 管理 策略 的 配置 与 “ 防 病毒 和 防 间 谍 软 件 
策略 ”相同 ,这 里 不 再 袭 述 。 


5.6.2 更 新 内 容 


对 客户 端 执行 “更 新 内 容 " 操 作 , 可 以 确保 SEP 客户 端 病毒 库 定义 最 新 ,使 其 可 以 识别 
并 查 杀 最 新 型 的 计算 机 病毒 。 

在 SEP Manager 控制 台 窗口 的 “客户 端 选 项 卡 中 , 右 击 希望 执行 操作 的 客户 端 计算 
机 ,依次 选择 “对 客户 端 运 行 命令 ”>“ 更 新 内 容 " 选 项 ,显示 如 图 5-48 所 示 的 “更 新 内 容 ” 对 
话 框 , 单 击 “ 是 ”按钮 确定 即 可 。 


5.6.3 病毒 扫描 与 查 杀 

在 SEP Manager 控制 台 窗 口 的 “客户 端 " 选 项 卡 中 , 右 击 希望 执行 操作 的 客户 端 计算 
机 ,依次 选择 “对 客户 端 运 行 命令 >“ 扫描" 选项 ,显示 “扫描 ”对 话 框 ,提示 是 否 向 客户 端 发 
送 “ 扫 描 ” 命 令 , 单 击 “ 是 ”按钮 ,显示 如 图 5-49 所 示 的 “选择 扫描 类 型 "对 话 框 ,选择 希望 执行 
的 扫描 类 型 , 单 击 “ 确 定 ” 按 钮 ,客户 端 即 可 开始 病毒 扫描 。 
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5.6.4 和 在 客户 端 执行 病毒 扫描 


除了 由 管理 员 控 制 远 程 客户 端的 病毒 扫描 之 外 ,客户 端 用 户 还 可 以 随时 进行 活动 扫描 、 
全 面 扫描 或 自 定义 扫描 。 活 动 扫描 只 扫描 最 常 感染 病毒 的 区 域 ; 全 面 扫描 可 以 对 整个 计算 
机 进行 扫描 ; 自 定义 扫描 则 可 以 根据 用 户 需 求 , 对 指定 的 目录 或 对 象 进行 扫描 。 

(1) 在 客户 端 计算 机 上 打开 Symantec Endpoint Protection 窗口 ,切换 到 “扫描 威胁 ” 选 
项 卡 ,如 图 5-50 所 示 。 


扫 措 名 称 。 已 启用 。 兢 弄 扫 猫 时间 上 次 扫 撕 下 次 调 , 
而 机 康 扫 撒 。 。 是。 全 面 扫 撕 每 局 。 2003 年 11 月 12 日 6。 2009 年 11 月 


图 5-50 “扫描 威胁 ”选项 卡 


(2) 单 击 希 望 进行 的 扫描 类 型 即 可 开始 扫描 ,例如 单 击 “ 活 动 扫 描 ” 按 钮 ,显示 如 
图 5-51 所 示 的 “活动 扫描 ”窗口 。 扫 描 过 程 中 如 果 发 现 病毒 , 则 将 显示 在 窗口 的 列表 中 , 选 
中 指定 的 对 象 ,并 单 击 * 立 即 删除 风险 ?按钮 即 可 
删除 病毒 。 


5.6.5 知识 链接 : SEP 客户 端 


1. SEP 客户 端 管理 任务 

SEP 客户 端的 主要 管理 任务 都 是 通过 SEP | | 
Manager 控制 台 实 现 的 ,可 以 对 客户 端 执行 的 操 = | sem | Hie. | ¥ene) | mM | 
作 如 下 。 SE . 

(1) 扫描 。 在 客户 端 上 运行 按 需 扫描 。 图 5-51 “活动 扫描 ”窗口 
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(2) 取消 所 有 扫描 。 取 消 当前 在 客户 端 计算 机 上 运行 的 全 部 扫描 。 

(3) 更 新 内 容 。 在 客户 端 上 初始 化 LiveUpdate 会 话 ,以 更 新 客户 端的 内 容 。 客 户 端 计 
算 机 会 从 Symantec LiveUpdate 接收 最 新 的 内 容 。 

(4) 更 新 内 容 并 扫描 。 初 始 化 LiveUpdate 会 话 以 更 新 内 容 , 然 后 在 客户 端 上 运行 按 需 
扫描 。 

(5) 重新 启动 客户 端 计算 机 。 

(6) 启用 自动 防护 。 在 客户 端 启用 “文件 系统 自动 防护 ”。 

(7) 启用 网 络 威胁 防护 。 在 客户 端 启 用 “网 络 威胁 防护 ”。 

(8) 禁用 网 络 威胁 防护 。 在 客户 端 禁用 “网 络 威胁 防护 ”。 

2. SEP 客户 端 功能 

防 病毒 和 防 间 谍 软 件 防护 可 确保 计算 机 免 遭 已 知 病毒 与 安全 风险 的 攻击 。 如 果 能 够 很 
快 地 从 计算 机 中 检测 到 病毒 并 将 其 删除 , 则 可 以 阻止 其 感染 到 其 他 文件 。 当 Symantec 
Endpoint Protection 客户 端 检 测 到 病毒 或 安全 风险 时 ,默认 情况 下 客户 端 会 通知 用 户 检测 
的 结果 。 如 果 不 希 望 收 到 通知 , 则 管理 员 可 以 将 客户 端 配置 为 自动 处 理 风险 。 防 病毒 和 防 
间谍 软件 防护 可 提供 以 特征 为 基础 的 扫描 ,并 包括 下 列 功能 。 

(1) 自动 防护 扫描 。 自 动 防护 会 持续 运行 ,并 通过 监控 计算 机 上 的 活动 为 计算 机 提供 
实时 防护 。 自 动 防护 会 在 文件 执行 或 打开 时 查看 其 是 否 含 病毒 或 安全 风险 ,也 会 在 修改 文 
件 时 查看 其 是 否 含 病毒 或 安全 风险 。 

(2) 调度 、 启 动 及 按 需 扫描 。 管 理 员 可 以 配置 其 他 要 在 客户 端 计算 机 上 运行 的 扫描 。 
这 些 扫 描 会 搜索 受 感染 文件 中 残留 的 病毒 特征 ,也 会 搜索 受 感染 文件 中 安全 风险 的 特征 与 
系统 信息 。 管 理 员 都 可 以 启动 扫描 ,系统 地 检查 计算 机 上 的 文件 是 否 有 病毒 和 安全 风险 。 


习题 


1. 简 述 计算 机 病毒 的 定义 及 其 基本 特征 。 

2. 最 近 几 年 爆发 的 计算 机 病毒 有 哪些 共同 特征 ? 
3. 计算 机 病毒 传播 的 主要 途径 有 哪些 ? 

4. 如 何 判定 一 台 计 算 机 可 能 感染 了 病毒 ? 

5. 简 述 SEP 网 络 防 病毒 系统 的 运行 机 制 。 


实验 : 通过 各 种 方式 部 署 SEP 客户 端 


实验 目的 : 

掌握 SEP 客户 端的 部 署 方法 。 

实验 内 容 : 

为 不 同 环境 中 的 客户 端 选择 合适 的 SEP 客户 端 安装 方式 ,包括 * 推 ? 式 安装 、 查 找 安装 
和 客户 端 手动 安装 。 

实验 步骤 : 

(1) 在 域 中 部 署 备用 的 SEP 服务 器 。 
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(2) 在 客户 端 计算 机 上 运行 ping 命令 ,分 别 测试 到 SEP 服务 器 的 连通 性 。 

(3) 使 用 * 推 ?方式 为 域 中 的 指定 计算 机 安装 SEP 客户 端 。 

(4) 使 用 “查找 ”方式 搜索 企业 网 络 中 的 计算 机 ,选择 用 于 实验 的 客户 端 并 安装 SEP 客 
户 端 。 

(5) 登录 未 加 入 域 的 客户 端 计算 机 ,通过 网 络 共享 或 其 他 方式 获取 SEP 服务 器 生成 的 
SEP 客户 端 安装 包 。 

(6) 运行 安装 包 ,部署 SEP 客户 端 。 

(7) 登录 SEP Manager 管理 控制 台 ,检查 是 否 能 浏览 到 已 部 署 的 所 有 SEP 客户 端 。 


系统 补丁 更 新 


对 于 Windows 操作 系统 而 言 ,漏洞 是 在 所 难免 的 。 随 着 用 户 的 不 断 应 用 和 发 据 , 各 种 
各 样 的 系统 漏洞 将 不 断 涌现 。 应 对 系统 漏洞 最 有 效 的 措施 就 是 及 时 安装 系统 补丁 , 即 安装 
Microsoft 网 站 发 布 的 系统 更 新 。 如 果 网 络 中 计算 机 数量 较 多 ,大 量 计 算 机 同时 更 新 还 会 占 
用 大 量 Internet 带宽 。 因 此 ,可 以 通过 部 署 WSUS 服务 器 ,可 以 从 Microsoft 网 站 下 载 所 有 
的 Windows 更 新 , 供 局 域 网 中 的 客户 端 下 载 安装 ,从 而 提高 下 载 速度 ,并 节省 大 量 Internet 


6.1 补丁 管理 规划 


补丁 主要 是 针对 漏洞 而 言 的 ,包括 操作 系统 漏洞 和 应 用 程序 漏洞 等 。 对 于 一 个 中 型 企 
业 网 络 而 言 ,需要 的 网 络 服务 多 种 多 样 ,客户 端 技术 水 平 参差 不 齐 , 安 全 漏洞 的 管理 是 非常 
必要 的 。 


6.1.1 案例 情景 


目前 ,该 企业 网 络 中 的 服务 器 均 使 用 Windows 操作 系统 ,网 络 服务 提供 程序 也 以 
Microsoft 为 主 ,客户 端 用 户 大 部 分 使 用 Windows Vista 或 Windows XP 系统 ,少量 用 户 使 
用 Mac OS 或 Linux 操作 系统 。 

网 络 中 心 的 所 有 服务 器 均 已 开启 自动 更 新 功能 .能够 及 时 获取 Windows 或 应 用 程序 所 
需 的 补丁 更 新 ,弥补 安全 漏洞 。 但 是 ,多 台 服 务 器 同时 下 载 较 大 的 补丁 文件 时 ,对 网 络 传输 
速率 影响 较 大 ,导致 正常 访问 无 法 顺利 进行 。 客 户 端 用户 安 全 意识 较 差 ,大 部 分 未 启用 
Windows 系统 的 自动 更 新 功能 ,存在 极 大 的 安全 隐患 。 一 旦 计算 机 病毒 通过 客户 端 系统 漏 
洞 入 侵 整 个 网 络 ,后 果 将 不 堪 设 想 。 


6.1.2 项 目 需求 


为 服务 器 安装 漏洞 补丁 自然 是 无 可 厚 非 的 ,但 不 应 为 此 而 影响 正常 的 网 络 应 用 ,尤其 是 
重要 的 应 用 ,如 网 络 视频 会 议 . 即 时 通信 等 。 问 题 的 关键 在 于 下 载 漏洞 补丁 产生 的 Internet 
流量 上 ,企业 网 络 的 Internet 连接 带宽 是 有 限 的 ,如 果 多 台 服 务 器 同时 下 载 补丁 ,势必 会 占 
用 大 量 的 Internet 带宽 ,而 预 留 给 其 他 网 络 应 用 的 带宽 就 非常 有 限 了 ,对 Internet 连接 带宽 
需求 较 高 的 应 用 (例如 网 络 会 议 ) 就 会 受到 严重 影响 。 如 果 可 以 降低 由 此 产生 的 Internet 带 
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宽 开 销 ,将 下 载 漏洞 补丁 限制 在 网 络 内 部 ,就 可 以 解决 这 一 问题 。 

对 于 客户 端 而 言 , 也 必须 开启 Windows 系统 的 自动 更 新 功能 ,以 便 及 时 获取 系统 和 应 
用 程序 补丁 。 管 理 员 可 以 通过 组 策略 统一 管理 和 配置 客户 端的 更 新 功能 。 对 于 网 络 安全 意 
识 较 差 的 用 户 要 加 强 管理 。 


6.1.3 解决 方案 


可 以 在 网 络 中 部 署 专用 的 WSUS(Windows Server Update Services) 服 务 器 ,统一 管理 
网 络 中 计算 机 的 漏洞 补丁 。 内 部 用 户 可 以 通过 WSUS 服务 器 ,集中 从 Microsoft Update 网 
站 下 载 更 新 程序 ,并 且 在 完成 这 些 更 新 程序 的 测试 工作 ,确定 对 企业 内 部 计算 机 不 会 有 不 良 
影响 后 ,再 通过 管理 员 的 核准 程序 ,将 这 些 更 新 程序 部 署 到 客户 端的 计算 机 上 ,如 图 6-1 
所 示 。 


图 6-1 WSUS 运作 模式 


如 果 网 络 中 的 客户 端 计算 机 较 多 , 则 为 了 便于 管理 可 以 预先 进行 适当 分 组 ,可 以 更 容 
易 .更 准确 地 将 更 新 部 署 到 指定 的 计算 机 上 。 默 认 情 况 下 ,安装 和 配置 WSUS 服务 器 的 过 
程 中 ,已 经 创建 了 两 个 分 组 ,分 别 是 所 有 计算 机 和 未 指派 的 计算 机 。 客 户 端 计算 机 在 第 1 次 
跟 WSUS 服务 器 接触 时 ,系统 默认 会 将 该 计算 机 同时 加 入 到 这 两 个 组 内 。 在 应 用 过 程 中 ， 
管理 员 也 可 以 根据 实际 情况 创建 新 的 计算 机 分 组 ,并 在 组 之 间 灵 活 移动 客户 端 计算 机 。 

由 于 WSUS 服务 器 是 从 Microsoft Update 网 站 所 下 载 的 更 新 程序 ,最 好 经 过 测试 后 ， 
再 将 其 部 署 到 客户 端 计算 机 ,因此 应 建立 一 个 测试 计算 机 组 ,可 以 先 将 更 新 程序 部 署 到 测试 
计算 机 组 内 的 计算 机 , 待 测试 无 误 ,确定 对 企业 内 部 计算 机 不 会 有 不 良 影响 后 ,再 将 其 部 署 
到 其 他 组 内 的 计算 机 。 


6.2 WSUS 概述 


为 了 让 用 户 的 Windows 系统 与 其 他 Microsoft 产品 能 够 更 安全 ,更 稳定 、 功 能 更 强 , 因 
此 Microsoft 会 不 定期 在 网 站 上 释 出 最 新 的 更 新 程序 (Update, 例 如 Hotfix、 Service Pack 
等 ) 供 使 用 者 下 载 与 安装 ,而 一 般 使 用 者 可 以 通过 以 下 两 种 方式 获取 更 新 程序 。 

(1) 手动 连接 Microsoft Update 网 站 。 

(2) 通过 Windows 系统 的 自动 更 新 功能 。 

然而 企业 内 部 不 论 是 采用 哪 一 种 方式 ,都 可 能 会 有 以 下 的 缺点 。 

(1) 影响 网 络 效率 。 如 果 企业 内 部 每 一 台 计 算 机 都 自行 上 网 更 新 , 则 可 能 会 增加 对 外 
网 络 的 负担 .影响 对 外 联机 的 网 络 效 率 。 

(2) 与 现 有 软件 相互 干扰 。 若 企业 内 部 所 使 用 的 软件 与 更 新 程序 有 冲突 , 则 用 户 下 载 
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与 安装 更 新 程序 可 能 会 影响 该 软件 或 更 新 程序 的 正常 运作 。 
6.2.1 WSUS 系统 需求 


WSUS 3.0 SP2 对 服务 器 操作 系统 版 本 的 要 求 如 下 。 

(1) WSUS 服务 器 必须 运行 Windows Server 2003、Windows Server 2008、Windows 
Vista 或 Windows XP SP3 系统 ,Windows 2000 系统 不 支持 WSUS 3. 0。 

(2) 在 安装 WSUS 服务 之 前 ,服务 器 不 能 安装 终端 服务 。 

WSUS 3.0 SP2 对 服务 器 文件 系统 的 需求 如 下 。 

(1) 磁盘 分 区 使 用 NTFS 文件 系统 。 

(2) 系统 分 区 中 有 至 少 1GB 的 磁盘 空间 。 

(3) 存储 数据 库 文件 的 卷 上 有 至 少 2GB 的 磁盘 空间 。 

(4) 存储 内 容 的 卷 上 至 少 要 有 6GB 的 磁盘 空间 。 

(5) 不 能 在 压缩 驱动 器 上 安装 WSUS 3.0 SP2。 

在 WSUS 服务 器 上 ,必须 安装 如 下 组 件 。 

(1) 安装 IIS ,启动 Web 服务 。 

(2) Microsoft . NET Framework 2.0。 

(3) Microsoft Report Viewer 2008 SP1 Redistributable。 

WSUS 客户 端的 要 求 比 较 低 ,只 要 能 正常 运行 客户 端 操 作 系 统 ,并 且 能 够 连接 WSUS 
服务 器 即 可 。 除 了 Windows 9x 系统 以 后 , Windows 2000 及 其 以 后 的 系统 都 支持 通过 
WSUS 获取 系统 更 新 。 

WSUS 3.0 SP2 支持 Microsoft 公司 全 部 产品 的 更 新 ,不 仅 支持 Windows 2000 及 其 以 
后 的 所 有 Windows 操作 系统 ,例如 Windows 2000、Windows XP、Windows Server 2003、 
Windows Vista 和 Windows Server 2008 等 ,还 提供 了 对 Office、SQL Server、MSDE 和 
Exchange Server 等 内 容 的 更 新 支持 。 


6.2.2 WSUS 服务 器 的 架构 


在 客户 端 较 少 的 网 络 中 ,使 用 一 台 WSUS 服务 器 就 足够 了 ,如果 客 户 端 数量 较 多 , 则 需 
要 部 署 多 台 WSUS 服务 器 ,以 降低 服务 器 的 负载 ,此 时 这 些 WSUS 服务 器 之 间 就 必须 按照 
一 定 的 架构 进行 部 署 ,以 提高 资源 利用 率 。 在 多 台 WSUS 服务 器 的 网 络 中 ,首先 应 选 定 一 
台 WSUS 服务 器 作为 主 服务 器 ,使 其 可 以 直接 从 Microsoft Update 网 站 获取 更 新 程序 。 其 
他 WSUS 服务 器 并 不 直接 连接 Microsoft Update 网 站 ,而 是 从 上 游 的 主 服 务 器 来 取得 更 新 
程序 ,如 图 6-2 所 示 。 


图 6-2 多 台 WSUS 服务 器 的 网 络 
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通常 情况 下 ,用 户 可 以 通过 如 下 两 种 方式 配置 多 台 WSUS 服务 器 之 间 的 协同 工作 。 

1. 自治 模式 

上 游 WSUS 服务 器 会 与 下 游 服 务 器 共享 更 新 程序 , 即 下 游 WSUS 服务 器 会 从 上 游 服 
务 器 获取 更 新 程序 ,但 是 并 不 包含 更 新 程序 的 核准 状态 、 计 算 机 分 组 信息 ,因此 下 游 服务 器 
必须 自行 决定 是 否 要 核准 这 些 更 新 程序 与 自行 建立 所 需 的 计算 机 组 。 

2. 复 本 模式 

上 游 WSUS 服务 器 会 与 下 游 服务 器 共享 更 新 程序 .更 新 程序 的 核准 状态 与 计算 机 组 信 
息 , 即 下 游 WSUS 服务 器 是 从 上 游 服务 器 获取 上 述 信息 ,所 有 可 以 在 上 游 服 务 器 上 管理 的 
项 目 均 无 法 在 下 游 服 务 器 自行 管理 ,例如 不 能 够 自行 改变 更 新 程序 的 核准 状态 等 。 

注意 : 上 述 的 计算 机 分 组 信息 只 有 计算 机 分 组 本 身 而 已 ,并 不 包含 计算 机 群 组 的 成 员 ， 
用 户 必须 手动 在 下 游 服务 器 来 管理 组 成 员 ; 而 客户 端 计算 机 在 第 1 次 跟 下 游 WSUS 服务 
器 通信 时 ,这 些 计算 机 默认 是 会 被 同时 加 入 到 所 有 计算 机 与 尚未 指派 的 计算 机 组 内 。 

管理 员 可 以 根据 实际 网 络 环境 和 客户 端 需求 ,选择 适当 的 部 署 方式 。 例 如 ,只 要 从 上 游 
服务 器 下 载 一 次 更 新 程序 ,然后 将 它 分 配给 位 于 分 公司 的 下 游 服 务 器 ,以 便 降 低 互 联网 联机 
的 负担 。 另 外 ,应 当 注 意 的 是 ,上 游 WSUS 服务 器 不 仅 需要 满足 本 地 客户 端 更 新 程序 的 需 
求 ,还 应 考虑 下 游 WSUS 服务 器 的 客户 端的 需求 。 例 如 ,如 果 上 游 WSUS 服务 器 的 客户 端 
仅 需 要 简体 中 文 版 的 更 新 程序 ,而 下 游 WSUS 服务 器 的 客户 端 还 需要 英文 的 更 新 程序 , 则 
上 游 WSUS 服务 器 必须 同时 下 载 简体 中 文 版 和 英文 版 的 更 新 程序 。 

注意 : 上 下 游 WSUS 服务 器 之 间 的 连接 方式 ,建议 不 要 超过 3 层 ,因为 每 增加 一 层 ,就 
会 增加 延迟 时 间 , 因 而 拉 长 将 更 新 程序 传递 到 每 一 台 服 务 器 的 时 间 。 


6.2.3 WSUS 数据 库 


WSUS 服务 可 以 使 用 Windows Server 2008 系统 内 置 的 数据 库 , 也 可 以 使 用 SQL 
Server 2005/2008 数据 库 。 每 一 台 WSUS 服务 器 都 有 一 个 独立 的 数据 库 , 用 于 存储 如 下 信息 。 

(1) WSUS 服务 器 的 配置 信息 。 

(2) 描述 每 一 个 更 新 程序 的 数据 表单 (Metadata) 。Metadata 内 包含 着 以 下 信息 。 

@ 更 新 程序 的 属性 : 例如 更 新 程序 的 名 称 、 描 述 、 相 关 的 技术 库 文章 编号 等 。 

@ 适用 规则 : 用 来 判断 更 新 程序 是 否 适用 于 某 台 计算 机 。 

@ 安装 信息 : 例如 安装 时 所 需 的 指令 行 参 数 。 

(3) 客户 端 计算 机 及 其 与 更 新 程序 之 间 的 关系 等 信息 。 

需要 注意 的 是 ,数据 库 中 并 不 会 存储 更 新 程序 文件 ,因此 还 必须 另外 再 选择 更 新 程序 的 
存储 目录 ,用 户 可 以 从 如 下 两 种 方式 中 选择 。 

1. 储存 在 WSUS 服务 器 

此 时 WSUS 服务 器 会 从 Microsoft Update 网 站 (或 上 游 服 务 器 ) 下 载 更 新 程序 ,并 将 其 
储存 到 本 地 计算 机 。 此 种 方式 让 客户 端 可 以 直接 从 WSUS 服务 器 来 取得 更 新 程序 ,不 用 到 
Microsoft Update 网 站 下 载 ,如 此 便 可 以 节省 Internet 连接 带宽 。 

WSUS 服务 器 的 硬盘 必须 要 有 足够 的 空间 来 储存 更 新 程序 档案 ,最 少 要 有 20GB 的 可 
用 空间 ,建议 是 30GB 以 上 ,不 过 实际 需求 要 看 Microsoft 提供 的 更 新 程序 数量 、 下 载 的 语言 
数量 .产品 的 种 类 数量 等 因素 而 可 能 需要 预 留 更 多 的 可 用 空间 。 
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2. 储存 在 Microsoft Update 网 站 

此 时 WSUS 服务 器 并 不 会 从 Microsoft Update 网 站 来 下 载 更 新 程序 , 换 句 话说 , 当 用 
户 执行 WSUS 服务 器 与 Microsoft Update 之 间 的 同步 工作 时 , WSUS 服务 器 只 会 
Microsoft Update 网 站 下 载 更 新 程序 的 Metadata 数据 ,并 不 会 下 载 更 新 程序 本 身 。 

因此 当 管理 员 核 准 客户 端 可 以 安装 某 个 更 新 程序 后 ,客户 端 是 直接 连接 Microsoft 
Update 网 站 来 下 载 更 新 程序 。 如 果 客 户 端 计算 机 的 数量 不 多 ,或 是 客户 端 与 WSUS 服务 
器 之 间 的 连接 速度 不 快 ,但 是 却 与 Internet 之 间 的 连接 速度 较 快 时 ,就 可 以 选择 这 种 方式 。 


6.3 安装 和 配置 WSUS 服务 器 


WSUS 是 Microsoft 推出 的 网 络 化 补丁 分 发 方案 ,Windows Server 2008 已 经 集成 了 
WSUS 服务 ,可 以 集中 下 载 所 有 Microsoft 产品 的 更 新 程序 。 对 于 客户 端 计算 机 而 言 ,不 必 
再 连接 到 Microsoft 网 站 ,直接 从 网 络 中 配置 的 WSUS 服务 器 上 即 可 下 载 并 安装 更 新 程序 ， 
速度 非常 快 ,而 且 可 以 为 网 络 节省 Internet 带宽 。 


6.3.1 安装 WSUS 服务 器 


由 于 WSUS 3. 0 已 经 集成 在 Windows Server 2008 系统 中 ,因此 ,不 需 专门 从 
Microsoft 网 站 下 载 , 利 用 “添加 角色 向 导 ” 即 可 安装 。 不 过 ,由 于 在 安装 过 程 中 需要 连接 
Microsoft 网 站 并 下 载 应 用 程序 ,因此 ,WSUS 服务 器 必须 已 经 连接 到 Internet。WSUS 安 
装 完成 后 ,会 启动 配置 向 导 , 用 来 完成 一 系列 的 配置 工作 。 

1. 安装 WSUS 服务 器 

(1) 以 管理 员 账 户 登录 到 WSUS 服务 器 以 后 ,在 “服务 器 管理 器 ”中 启动 “添加 角色 向 
导 ”, 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 6-3 所 示 的 “选择 服务 器 角色 ”对 话 框 。 选 中 Windows 
Server Update Services 复 选 框 ,同时 会 显示 “是 否 添加 Windows Server Update Services 所 
需 的 角色 服务 ”对 话 框 , 单 击 “ 添 加 所 需 的 角色 服务 ”按钮 ,同时 安装 Windows Server 
Update Services 和 “Web 服务 器 ”。 
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(2) 单 击 “下 一 步 ? 按 钮 ,显示 “Web 服务 器 (IIS)” 对 话 框 ,提示 Web 服务 器 的 简介 信 
息 。 单 击 * 下 一 步 ? 按 钮 ,显示 如 图 6-4 所 示 的 “选择 角色 服务 ”对 话 框 ,用 于 选择 Web 服务 
器 的 组 件 。 保 持 默认 值 即 可 。 
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图 6-4 “选择 角色 服务 ”对 话 框 


(3) 连续 单 击 “ 下 一 步 "按钮 ,显示 “确认 安装 选择 ”对 话 框 。 单 击 “ 安 装 ” 按 钮 开始 安装 ， 
使 会 自动 连接 Internet 并 下 载 WSUS 安装 程序 。 下 载 完成 后 自动 启动 WSUS 3. 0 SP2 安 
装 向 导 。 直 接 单 击 * 下 一 步 ” 按 钮 ,显示 如 图 6-5 所 示 的 “许可 协议 ”对 话 框 。 选 中 “我 接受 许 
可 协议 条 款 ” 单 选 按 钮 ,接受 许可 协议 。 
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图 6-5 “许可 协议 ”对 话 框 


提示 : 如 果 当 前 服务 器 没有 连接 Internet, 则 安装 将 不 能 成 功 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ,显示 “选择 更 新 源 ” 对 话 框 ,用 来 设置 更 新 程序 在 本 地 计算 机 上 
的 存储 位 置 。 选 中 “本 地 存储 更 新 " 复 选 框 ,并 设置 一 个 保存 路 径 即 可 。 单 击 “ 下 一 步 ” 按 钮 ， 
显示 如 图 6-6 所 示 的 “数据 库 选项 ”对 话 框 ,用 于 设置 WSUS 数据 库 的 存储 位 置 。 通 常 ,与 
系统 更 新 保存 在 同一 位 置 即 可 。 
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图 6-6 “数据 库 选 项 "对话 框 


注意 : 保存 系统 更 新 的 磁盘 尽量 为 非 系统 分 区 ,并且 至 少 有 6GB 的 空间 。 

(5) 单 击 “下 一 步 ? 按 钮 ,显示 如 图 6-7 所 示 的 “网 站 选择 ”对 话 框 ,WSUS 需要 创建 一 个 
Web 站 点 以 供 客户 端 计算 机 访问 。 如 果 当 前 服 
务 器 不 配置 为 其 他 Web 网 站 ,选中 “使 用 现 有 IIS 
默认 网 站 (推荐 )" 单 选 按钮 即 可 。 如 果 当 前 服务 
器 要 为 其 他 服务 提供 Web 网 站 功能 , 则 需 选 中 人 
“创建 Windows Server Update Services 3. 0 SP2 Ht sr Warner 30 3 FAL 
网 站 ” 单 选 按钮 。 站 人 Sa 本 

(6) 单 击 * 下 一 步 ? 按 钮 ,显示 “准备 安装 
Windows Server Update Services 3. 0 SP2” 对 话 
框 , 列 出 了 前 面 所 做 的 配置 。 继 续 单 击 * 下 一 步 ” 
按钮 ,开始 安装 WSUS, 显 示 “ 正 在 完成 Windows 图 6-7 “网 站 选择 "对话 框 
Server Update Services 3.0 SP2 安装 向 导 ” 对 话 
框 。 单 击 “ 完 成 ”按钮 ,返回 “添加 角色 向 导 ”, 显 示 如 图 6-8 所 示 的 “安装 结果 ”对 话 框 ,提示 
WSUS 和 Web 服务 器 已 安装 完成 。 
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图 6-8 “安装 结果 ”对 话 框 
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(7) 单 击 “关闭 ”按钮 ,退出 向 导 ,WSUS 服务 器 安装 完成 ,并 自动 启动 配置 向 导 , 用 来 配 
置 WSUS。 

2. WSUS 3.0 配置 向 导 

当 使 用 “添加 角色 向 导 ” 安 装 完 WSUS 以 后 ,会 立即 启动 WSUS 配置 向 导 , 用 来 配置 
WSUS 的 同步 方式 .同步 计划 、 所 更 新 的 产品 和 分 类 等 。 如 果 不 想 立刻 配置 ,也 可 以 将 其 取 
消 , 以 后 第 一 次 启动 WSUS 时 ,或 者 在 WSUS 的 控制 台中 ,可 以 再 次 启动 WSUS 配置 向 导 。 

(1) 退出 WSUS 向 导 时 , 即 可 启动 WSUS 配置 向 导 。 单 击 * 下 一 步 ? 按 钮 ,显示 “加 入 
Microsoft Update 改善 计划 ”对 话 框 ,选择 是 否 加 入 Microsoft Update 改善 计划 。 单 击 “ 下 
一 步 ” 按 钮 ,显示 如 图 6-9 所 示 的 “选择 上游 服务 器 '” 对 话 框 。 选 中 “从 Microsoft Update 
进行 同步 ? 单 选 按钮 ,从 Microsoft 网 站 进行 同步 ; 但 如 果 网 络 中 已 经 配置 有 WSUS 服务 
器 ,可 以 选中 “从 其 他 Windows Server Update Services 服务 器 进行 同步 ? 单 选 按钮 ,并 输入 
上 游 WSUS 服务 器 的 IP 地 址 ,从 已 有 的 WSUS 服务 器 同步 更 新 。 
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图 6-9 “选择 * 上 游 服务 器 ”对 话 框 


(2) 单 击 “ 下 一 步 ” 按 钮 ,显示 “指定 代理 服务 器 "对话 框 ,用 来 设置 代理 服务 器 。 如 果 不 
需要 代理 , 则 不 需 设置 。 单 击 “ 下 一 步 ” 按 钮 ,显示 “连接 到 上 游 服 务 器 "对话 框 ,需要 连接 上 
游 服 务 器 并 下 载 同步 更 新 的 信息 。 单 击 “ 开 始 连 接 ” 按 钮 ,开始 连接 上 游 服务 器 并 下 载 相 关 
信息 ,如 图 6-10 所 示 。 

(3) 单 击 “ 下 一 步 " 按 钮 ,显示 “选择 “语言 '” 对 话 框 ,需要 选择 网 络 中 使 用 的 更 新 语言 。 
通常 选中 “中 文 (简体 )" 复 选 框 即 可 。 如 果 网 络 中 也 使 用 了 英文 版 的 系统 或 者 应 用 程序 , 则 
需 同 时 选中 “英语 " 复 选 框 。 单 击 “ 下 一 步 ” 按 钮 ,显示 “选择 “产品 * ”对话 框 ,需要 选择 更 
新 的 产品 。 应 根据 网 络 中 所 使 用 的 操作 系统 和 应 用 程序 版 本 来 选择 。 单 击 “ 下 一 步 ” 按 
钮 ,显示 “选择 “分 类 ，” 对 话 框 ,指定 要 同步 的 更 新 分 类 。 图 6-11 所 示 为 设置 更 新 语言 、 
产品 和 分 类 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ,显示 “设置 同步 计划 ”对 话 框 ,设置 如 何 与 上 游 服务 器 同步 。 为 
了 方便 管理 ,减少 管理 员 的 操作 ,建议 选中 “自动 同步 " 单 选 按钮 ,并 设置 同步 时 间 和 次 数 , 使 


159 


160 


计算 机 网 络 雪 全 


图 6-10 连接 上 游 服 务 器 
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图 6-11 设置 更 新 语言 .产品 和 分 类 


服务 器 自动 同步 。 单 击 " 下 一 步 " 按 钮 ,显示 “完成 ”对话 框 。 选 中 “开始 初始 同步 " 复 选 框 , 准 
备 在 完成 后 进行 第 一 次 同步 。 单 击 “ 下 一 步 " 按 钮 ,显示 如 图 6-12 所 示 的 “后 续 步 又 ”对 话 
框 , 列 出 了 完成 配置 的 后 续 操 作 。 

(5) 单 击 “ 完 成 ”按钮 ,安装 完成 。 

依次 选择 “开始 ”一 “管理 工具 ”一 Windows Server Update Services 选项 ,打开 WSUS 
控制 台 , 显 示 如 图 6-13 所 示 的 Update Services 窗口 。 在 该 窗口 中 即 可 管理 WSUS。 


6.3.2 配置 WSUS 服务 器 


WSUS 服务 器 安装 完成 后 并 不 能 立即 投入 使 用 ,必须 根据 实际 环境 和 需求 进行 合理 配 
置 ,如 Internet 接 人 方式 、 获 取 更 新 .客户 端 分 配 、 系 统 更 新 的 审批 等 。 同 时 ,管理 员 也 需要 
经 常 查看 WSUS 的 更 新 报告 ,以 便 了 解 所 有 的 更 新 信息 。 

1. 同步 

“同步 ?就 是 当前 WSUS 服务 器 从 Microsoft Update 站 点 或 其 上 游 WSUS 服务 器 获取 
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图 6-12 “后 续 步 又 ”对 话 框 
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图 6-13 Update Services 窗口 


更 新 的 过 程 。 同 步 有 手动 同步 和 自动 同步 两 种 方式 ,应 根据 网 络 的 使 用 情况 来 决定 何 时 进 
行 同步 。 通 常 使 用 自动 同步 ,并 将 同步 计划 设置 为 访问 Internet 较 少 的 时 间 段 ,例如 凌晨 。 
如 果 网 络 带宽 资源 紧张 , 则 可 使 用 手动 同步 方式 。 

(1) 在 WSUS 控制 台 窗口 ,选择 “同步 ?选项 ,显示 如 图 6-14 所 示 的 窗口 , 列 出 了 最 近 执 
行 过 的 同步 操作 。 单 击 一 个 同步 信息 ,在 “同步 详细 信息 ” 框 中 可 以 显示 该 次 同步 的 启动 时 
间 、 完 成 时 间 ,结果 、 类 型 等 。 

(2) 单 击 “ 操 作 ” 列 表 中 的 “立即 同步 "链接 , 即 可 开始 同步 ,并 在 “同步 状态 ” 框 中 显示 当 
前 的 同步 状态 及 进度 。 

2. 计算 机 

在 “选项 ”设置 窗口 中 , 单 击 “ 计 算 机 ”链接 ,打开 如 图 6-15 所 示 的 “计算 机 ”对 话 框 。 管 
理 员 可 以 通过 两 种 方法 为 计算 机 组 分 配 计算 机 : WSUS 控制 台 设 置 和 客户 端 策 略 设置 。 使 
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图 6-14 “同步 "窗口 


用 服务 器 端 设置 时 ,可 使 用 WSUS 管理 控制 台 将 客户 端 计算 机 移 到 计算 机 组 中 (每 次 移 到 
一 个 计算 机 组 )。 使 用 客户 端 策 略 设置 时 ,可 在 客户 端 计算 机 上 使 用 组 策略 或 编辑 注册 表 设 
置 ,以 便 将 这 些 计算 机 自动 添加 到 计算 机 组 中 。 

提示 : 两 种 分 配方 法 只 能 任 选 其 一 。 

3. 自动 审批 

(1) 在 选项 列表 中 单 击 * 自 动 审批 ?链接 ,显示 “自动 审批 ?对 话 框 。 单 击 “ 新 建 规则 ? 按 
钮 ,显示 如 图 6-16 所 示 的 “添加 规则 ”对 话 框 。 首 先 在 “步骤 1: 选择 属性 ?列表 框 中 ,选择 希 
望 用 于 批准 特定 分 类 的 更 新 还 是 审批 用 于 特定 产品 的 更 新 ; 选中 某 一 项 前 面 的 复 选 框 的 同 
时 ,在 “步骤 2: 编辑 属性 ( 单 击 带 下 划 线 的 值 )" 列 表 框 中 也 会 自动 增加 针对 该 项 的 详细 设 
置 ; 在 “步骤 3: 指定 名 称 ” 文 本 框 中 输入 新 规则 的 名 称 。 
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图 6-15 “计算 机 ”对 话 框 图 6-16 “添加 规则 ”对 话 框 


(2) 在 “步骤 2: 编辑 属性 ( 单 击 带 下 划 线 的 值 )" 编 辑 分 类 列表 框 中 ,还 可 以 对 选 定 的 分 
类 进行 详细 编辑 。 例 如 单 击 “ 任 何 分 类 ”链接 ,打开 如 图 6-17 所 示 的 “选择 “更 新 分 类 ”” 对 话 
框 。 默 认 状 态 下 ,列表 中 的 所 有 产品 都 是 被 选中 的 ,有 些 产 品类 型 并 不 是 需要 的 ,只 须 在 这 
里 将 其 取消 选中 即 可 。 
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(3) 单 击 “ 确 定 ” 按 钮 ,保存 设置 并 返回 “自动 审批 ”对话 框 ,如 图 6-18 所 示 。 
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图 6-17 “选择 更 新 分 类 ”对 话 框 图 6-18 “自动 审批 ”对话 框 


(4) 选中 成 功 创建 的 审批 规则 后 , 单 击 * 运 行规 则 ?按钮 ,打开 如 图 6-19 所 示 的 “运行 规 
则 ”对 话 框 ,提示 用 户 启用 规则 之 前 需要 先进 行 保存 ,以 及 是 否 要 继续 。 

(5) 单 击 “ 是 ”按钮 即 可 开始 运行 ,此 时 WSUS 服务 器 会 根据 所 选 自 动 批准 规则 中 的 限 
制 和 过 滤 条 件 ,筛选 可 用 的 更 新 安装 程序 ,可 能 需要 等 待 一 段 时 间 。 成 功 完成 后 ,显示 如 
图 6-20 所 示 结 果 ,提示 被 自动 批准 的 更 新 的 数量 。 
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图 6-19 “运行 规则 ”对 话 框 图 6-20 “正在 运行 规则 ”对 话 框 


(6) 单 击 “ 关 闭 ” 按 钮 ,保存 设置 即 可 。 

在 “自动 审批 "对 话 框 中 , 单 击 “ 高 级 ”切换 至 如 图 6-21 所 示 的 “高 级 "选项 卡 ,默认 情况 
下 ,系统 自动 审批 WSUS 更 新 和 更 新 修订 ,并 自动 拒绝 过 期 的 更 新 ,用 户 也 可 以 根据 实际 需 
要 暂时 将 其 取消 。 

4. 报告 汇总 

该 选项 只 适用 于 存在 下 游 服务 器 的 WSUS 服务 器 。 在 “选项 ”设置 窗口 中 , 单 击 “ 报 告 
汇总 ?链接 ,打开 如 图 6-22 所 示 的 “报告 汇总 ”对 话 框 。 系 统 默认 选中 “从 副本 下 游 服 务 器 汇 
总 状态 ”" 单 选 按钮 , 即 自动 收集 来 自 下 游 WSUS 服务 器 的 状态 信息 。 最 后 , 单 击 “ 确 定 ” 按 包 
保存 设置 即 可 。 

5. 电子 邮件 通知 

启用 WSUS 服务 器 的 E-mail 功能 后 .服务 器 可 以 在 完成 同步 后 第 一 时 间 通 知 管理 员 ， 
或 者 直接 将 收集 到 的 状态 报告 发 送 给 管理 员 , 以 备 日 后 查询 和 调用 。 单 击 “ 电 子 邮件 通知 ” 
链接 ,打开 如 图 6-23 所 示 的 “电子 邮件 通知 ”对 话 框 ,默认 显示 “常规 ”选项 卡 。 选 中 “在 同步 
新 更 新 时 发 送 电子 邮件 通知 " 复 选 框 ,并 在 “ 收 件 人 ”文本 框 中 输入 收 件 人 的 E-mail 地 址 ; 
选中 “发 送 状态 报告 ” 复 选 框 , 然 后 分 别 对 发 送 频率 和 发 送 时 间 进 行 设置 即 可 ,如 果 需 要 同时 
向 多 个 用 户 发 送 电子 邮件 通知 , 则 可 以 在 * 收 件 人 "文本 框 中 同时 输入 多 个 E-mail 地址 ,并 
以 逗号 分 隔 ; 在 “语言 "下拉 列表 框 中 ,还 可 以 选择 电子 邮件 内 容 使 用 的 语言 类 型 。 
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图 6-21 “高 级 ”选项 卡 图 6-22 “报告 汇总 ”对 话 框 


单 击 “ 电 子 邮 件 服务 器 "切换 至 如 图 6-24 所 示 的 “电子 邮件 服务 器 "选项 卡 。 由 于 发 送 
邮件 的 过 程 是 由 WSUS 服务 器 自动 完成 的 ,所 以 这 里 还 要 对 发 送 邮件 时 使 用 的 用 户 名 和 邮 
件 服务 器 进行 设置 。 设 置 完毕 后 ,可 以 先 单 击 * 测 试 ? 按 钮 ,测试 一 下 指定 的 收 件 人 是 否 确 定 
可 以 收 到 WSUS 服务 器 发 送 的 邮件 通知 ,确认 成 功 后 再 单 击 * 应 用 ?按钮 保存 设置 。 
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图 6-23 “电子 邮件 通知 ”对 话 框 图 6-24 “电子 邮件 服务 器 ?选项 卡 


6.3.3 管理 WSUS 服务 器 


WSUS 服务 器 的 日 常 管理 和 维护 是 至 关 重 要 的 ,原因 很 简单 ,由 于 WSUS 服务 器 担负 
着 众多 客户 端 系统 更 新 的 重要 任务 .随时 需要 下 载 更 新 ,并 将 其 发 送 到 指定 的 客户 端 , 随 着 
时 间 的 推移 ,难免 会 因为 系统 中 的 垃圾 文件 过 多 而 降低 运行 速度 。 因 此 ,管理 员 应 根据 客户 
端 变化 情况 ,随时 调整 WSUS 服务 器 的 下 载 任务 和 运行 状态 ,并 定期 删除 旧 的 更 新 程序 。 

1. 计算 机 及 分 组 管理 

WSUS 对 客户 端的 管理 都 是 通过 分 组 的 方式 进行 的 ,分 组 标准 非常 灵活 ,可 以 根据 所 
需 更 新 类 型 的 不 同 划 分 ,也 可 以 根据 所 属 部 门 的 不 同 进行 划分 ,还 可 以 删除 多 余 分 组 .默认 
情况 下 ,所 有 WSUS 客户 端 都 将 存储 在 “未 分 配 的 计算 机 ”分 组 中 ,管理 员 可 以 根据 需要 将 
其 迁移 或 复制 到 其 他 分 组 。 例 如 ,在 实施 广泛 分 发 更 新 之 前 必须 对 部 分 客户 端 进行 测试 , 确 
保 不 会 发 生 任何 意外 的 情况 后 , 才 可 以 分 发 安装 到 所 有 客户 端 , 此 时 就 应 创建 一 个 临时 组 或 
测试 组 。 
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(1) 管理 计算 机 分 组 
在 Update Services 窗口 中 , 右 击 “所 有 计算 机 ”并 选择 快捷 菜单 中 的 “添加 计算 机 组 ” 选 
项 ,打开 如 图 6-25 所 示 的 “添加 计算 机 组 ”对 话 框 ,在 名称” 文本 框 中 输入 计算 机 组 的 名 称 ， 
如 test。 单 击 * 添 加 ?按钮 , 即 可 添加 到 默认 的 “所 有 计算 机 ?组 中 。 
如 果 当 前 分 组 中 的 客户 端 数量 非常 多 ,为 了 便于 查看 和 管理 ,可 以 先 按 照 一 定 的 规则 将 
其 分 类 ,例如 名 称 、IP 地 址 .操作 系统 类 型 等 。 如 果 需 要 删除 计算 机 分 组 , 则 可 以 在 Update 
Services 窗口 中 , 右 击 分 组 名 称 (如 test) ,并 选择 快捷 菜单 中 的 “删除 ”选项 ,打开 如 图 6-26 
所 示 的 “删除 计算 机 组 ”对 话 框 。 这 里 包括 3 个 单 选 按钮 。 
加 
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图 6-25 “添加 计算 机 组 ”对 话 框 图 6-26 “删除 计算 机 组 ”对 话 框 


Q@ 从 此 组 中 删除 计算 机 : 只 删除 当前 分 组 中 的 计算 机 ,而 不 会 影响 到 计算 机 在 其 他 分 
组 中 的 存在 和 应 用 。 

@ 将 计算 机 移 到 此 组 的 父 组 中 : 将 组 中 的 计算 机 移动 到 其 父 组 中 ,由 于 当前 组 的 父 组 
是 “所 有 计算 机 ”, 默 认 已 经 存在 该 计算 机 ,所 以 不 可 操作 。 

@ 从 此 WSUS 服务 器 中 删除 计算 机 : 彻底 删除 本 组 的 计算 机 ,如 果 其 他 分 组 中 也 有 该 
计算 机 则 一 同 删除 。 

(2) 添加 计算 机 

正确 配置 WSUS 客户 端 后 ,服务 器 将 自动 发 现 这 些 客户 机 ,并 显示 在 “未 分 配 的 计算 
机 ”分 组 中 ,如 图 6-27 所 示 。 如 果 没 有 立即 显示 ,可 以 尝试 刷新 一 下 服务 器 ,或 者 在 “状态 ” 
下 拉 列 表 框 中 选择 适当 的 状态 ,如 “任何 ”等 。 
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6-27 发现 的 客户 端 计算 机 


165 


@。。 


166 


计算 机 网 络 朗 多 


如 果 接 受 管理 的 WSUS 客户 端 数量 较 多 , 则 可 以 通过 “搜索 ”功能 快速 查找 指定 的 计算 
机 。 右 击 “ 所 有 计算 机 ”并 选择 快捷 菜单 中 的 “搜索 ”选项 ,打开 如 图 6-28 所 示 的 “搜索 ”对 话 
框 。 在“ 名称 包含 "文本 框 中 输入 客户 端 计算 机 的 名 称 或 计算 机 名 中 的 部 分 字符 , 单 击 “ 立 即 
查找 ”按钮 , 即 可 开始 搜索 。 

在 搜索 结果 中 , 右 击 希望 添加 或 者 管理 的 客户 端 , 并 选择 快捷 菜单 中 的 “更 改 成 员 身份 ” 
选项 ,打开 如 图 6-29 所 示 的 “设置 计算 机 组 成 员 身份 对话 框 , 选 择 想 要 转移 到 的 目标 分 组 
并 单 击 “ 确 定 ” 按 钮 , 即 可 将 其 添加 到 指定 分 组 中 。 通 过 这 种 方法 ,可 以 快速 管理 多 个 名 称 类 
似 的 客户 端 计 算 机 ,在 搜索 结果 中 可 以 借助 Shift 键 和 Ctrl 键 同 时 选择 多 个 客户 端 。 


EEEECTTECT 可 | 


St 


图 6-28 “搜索 ”对 话 框 图 6-29 “设置 计算 机 组 成 员 身份 "对 话 框 (1) 


提示 : 如 果 使 用 客户 端 计算 机 上 的 组 策略 或 注册 表 设 置 管理 客户 端 , 则 无 法 完成 此 


(3) 删除 组 中 的 计算 机 
如 果 管 理 员 不 希望 将 针对 计算 机 组 的 设置 ,应 用 到 其 中 的 某 台 客户 端 上 ,此 时 应 将 其 从 
组 中 删除 。 例 如 ,现在 需要 删除 test 分 组 中 的 某 一 台 计 算 机 ,可 以 在 Update Services 窗口 
中 右 击 希望 删除 的 计算 机 并 选择 快捷 菜单 中 的 “更 改 成 员 身 a 
份 " 选 项 ,打开 如 图 6-30 所 示 的 “设置 计算 机 组 成 员 身份 "对 于 请 
话 框 ,取消 test 分 组 即 可 。 此 时 ,只 是 将 客户 端 从 当前 组 (test 
组 ) 中 删除 ,并 被 自动 添加 到 “未 分 配 的 计算 机 ”组 中 ,但 仍然 
接受 WSUS 服务 器 的 管理 。 

提示 : 如 果 使 用 客户 端 计算 机 上 的 组 策略 或 注册 表 设 置 
管理 客户 端 , 则 无 法 完成 此 设置 。 rl 

当 分 组 中 的 某 些 客户 端 无 须 再 从 WSUS 服务 器 获取 更 
新 ,或 者 由 于 其 他 原因 退出 网 络 时 ,应 及 时 在 WSUS 服务 器 图 930 “设置 计算 机 组 成 员 
上 将 其 删除 。 展 开 所 在 分 组 并 找到 要 删除 的 计算 机 名 称 , 右 
击 计算 机 名 称 并 选择 快捷 菜单 中 的 “删除 ”选项 ,提示 “删除 计算 机 ”对 话 框 , 单 击 “ 是 ”按钮 ， 
即 可 将 其 从 WSUS 服务 器 中 删除 。 

2. 监视 WSUS 服务 器 和 客户 端 状况 

WSUS 服务 器 还 提供 了 报告 监视 功能 ,可 以 轻松 实现 对 WSUS 服务 器 运行 情况 ,以 及 
客户 端 安全 状态 的 实时 监控 ,也 可 以 选择 从 当前 服务 器 的 下 游 服务 器 汇总 数据 ,包括 更 新 报 
告 .计算 机 报告 和 同步 报告 3 类 。 上 默认 情况 下 .WSUS Reporters 安全 组 的 成 员 具 有 运行 和 
查看 WSUS 报告 的 权限 ,本 地 Administrator 具有 运行 和 查看 WSUS 报告 的 权限 。 
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(1) 更 新 报告 

更 新 报告 包括 如 下 3 种 。 

J@ 更 新 状态 摘要 报告 。 该 报告 可 以 提供 每 个 更 新 的 详细 摘要 ,其 中 包括 更 新 属性 和 审 
批 状态 。 生 成 此 报告 时 ,将 会 在 树 窗 格 中 看 到 报告 条 件 中 包含 的 所 有 更 新 。 

@ 更 新 状态 详细 报告 。 该 报告 可 以 显示 所 有 计算 机 中 各 个 更 新 的 状态 。 

@ 更 新 状态 表格 报告 。 该 报告 可 以 提供 多 个 更 新 的 更 新 状态 。 生 成 此 报告 时 ,将 会 在 
表 中 看 到 报告 条 件 中 包含 的 所 有 更 新 。 


各 种 更 新 报告 的 查看 ,完全 相同 。 以 查看 a 
更 新 状态 摘要 报告 为 例 , 操 作 步骤 如 下 。 Sassari 
在 “报告 "窗口 中 , 单 击 “ 更 新 状态 摘 S30 儿 s , 


要 报告 ,打开 如 图 6-31 所 示 的 “LXH 的 更 mewssweo ne 
新 报告 ”窗口 。 这 里 包括 更 新 级 别 、 所 属 产 
品类 型 ,计算 机 分 组 .更 新 执行 结果 等 设置 
选项 ,用 户 可 以 对 希望 查看 的 更 新 类 型 和 级 
别 进行 选择 。 

@ 选择 “运行 报告 "菜单 选项 ,显示 如 
图 6-32 所 示 的 “更 新 状态 摘要 报告 "窗口, 根 
据 所 选 更 新 的 不 同 , 生 成 报告 所 需 的 时 间 及 内 
容 也 会 有 所 不 同 ,默认 情况 下 ,每 页 仅 显 示 一 项 更 新 的 相关 信息 ,包括 描述 .分 类 、 严 重 等 级 、 
编号 以 及 审批 情况 等 。 


图 6-31 设置 生成 报告 的 更 新 属性 
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图 6-32 “更 新 状态 摘要 报告 "窗口 


@ 单 击 “ 导 出 ”图 标 按钮 ,可 以 将 当前 报告 信息 导出 到 Excel 电子 表格 或 PDF 格式 的 文 
件 中 。 

(2) 计算 机 报告 

计算 机 报告 主要 用 于 反映 客户 端 系统 更 新 状态 和 详细 系统 信息 ,管理 员 可 以 根据 此 结 
果 了 解 当前 网 络 安全 状态 ,包括 如 下 3 种 。 
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@ 计算 机 状态 摘要 报告 。 该 报告 可 以 提供 每 台 计 算 机 的 详细 摘要 ,其 中 包括 计算 机 组 
信息 和 更 新 安装 状态 。 

@ 计算 机 状态 详细 报告 。 该 报告 可 以 显示 计算 机 状态 摘要 以 及 每 个 更 新 的 状态 。 

@ 计算 机 状态 表格 报告 。 该 报告 可 以 提供 多 台 计算 机 的 计算 机 状态 。 生 成 此 报告 时 ， 
将 会 在 表 中 看 到 报告 条 件 中 包含 的 所 有 计算 机 。 

(3) 同步 报告 

同步 结果 报告 显示 WSUS 服务 器 的 上 次 同步 结果 ,或 者 显示 特定 时 间 段 内 的 同步 结 
果 。 在 树 窗 格 中 ,报告 结果 将 作为 摘要 显示 ,并 且 还 按 更 新 分 类 进行 分 组 。 通 过 在 树 窗 
格 中 选择 分 类 ,用 户 将 会 在 “同步 报告 " 窗 格 中 看 到 有 关 这 些 更 新 的 同步 状态 的 详细 
信息 。 

默认 情况 下 ,同步 报告 仅 显 示 最 近 30 天 的 同步 结果 ,用 户 可 以 根据 需要 选择 不 同 的 时 
间 段 来 筛选 报告 结果 。 在 新 的 更 新 列表 中 单 击 特定 更 新 , 即 可 通过 该 报告 查看 有 关 该 更 新 
的 详细 信息 。 

3. 设置 特殊 文件 发 布 

在 应 用 WSUS 发 布 补丁 程序 过 程 中 ,可 能 会 遇 到 有 些 文件 无 法 通过 服务 器 发 布 给 客户 
端的 情况 ,例如 . reg 格式 的 注册 表 文 件 等 。 这 是 因为 在 WSUS 服务 器 使 用 的 Web 站 点 的 
MIME 类 型 中 没有 定义 该 文件 类 型 。 为 了 顺利 将 更 新 文件 发 布 到 客户 端 ,应 先 将 对 应 文件 
类 型 添加 到 IIS 全 局 或 WSUS 服务 器 对 应 站 点 的 MIME 类 型 库 中 ,操作 步骤 如 下 (此 处 以 
向 WSUS 服务 使 用 的 站 点 中 添加 为 例 ) 。 

(1) 打开 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 ,展开 WSUS 服务 使 用 的 Web 站 点 ,本 
例 中 为 默认 站 点 Default Web Site, 在 JIS 区 域 中 找到 “MIME 类 型 ”, 如 图 6-33 所 示 。 
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图 6-33 IIS 管理 器 


(2) 双击 “MIME 类 型 图标 ,打开 如 图 6-34 所 示 的 “MIME 类 型 "窗口 ,这 里 显示 了 当 
前 站 点 支持 的 所 有 MIME 类 型 。 
(3) 单 击 “ 添 加 ”按钮 ,显示 如 图 6-35 所 示 的 “添加 MIME 类 型 "对 话 框 。 在 “文件 扩展 
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图 6-34 “MIME 类 型 "窗口 


名 "文本 框 中 ,输入 想 要 添加 的 文件 扩展 名 (如 . reg) ,并 在 "MIME 类 型 "文本 框 中 ,按照 “类 

型 \ 子 类 型 "格式 输入 相应 的 类 型 。 Te 
提示 : 用 户 可 以 使 用 通配符 “* ”同时 添加 多 种 MIME Pasme 

类 型 ,例如 在 “文件 扩展 名 ”文本 框 中 输入 “. x ”, 则 允许 发 布 Eee 

任何 类 型 的 文件 ,此 时 可 能 会 对 服务 器 安全 造成 威胁 , 慎 用 


此 设置 。 图 6-35 “添加 MIME 类 型 
(4) 最 后 单 击 “ 确 定 ” 按 钮 保存 设置 即 可 。 对 话 框 


6.3.4 知识 链接 : WSUS 


1. WSUS 安装 注意 事项 

WSUS 对 服务 器 的 要 求 不 同 ,甚至 在 Windows Vista 等 客户 端 系统 中 都 可 以 安装 。 因 
此 ,只 要 根据 系统 需求 ,准备 好 保存 系统 更 新 的 NTFS 分 区 即 可 。 其 他 组 件 , 如 IIS 等 ,在 利 
用 Windows Server 2008 的 “添加 角色 向 导 ” 安 装 WSUS 时 会 自动 安装 ,用 户 只 需要 在 安装 
WSUS 前 安装 Microsoft Report Viewer 组 件 即 可 。 

Microsoft Report Viewer 是 使 用 WSUS 3. 0 SP2 用 户 界 面 的 必 备 组 件 ,用 来 查看 
WSUS 更 新 或 同步 的 各 种 报告 。 适 用 于 WSUS 3.0 SP2 的 版 本 是 Microsoft Report 
Viewer 2008 SP1 Redistributable, 可 以 从 Microsoft 网 站 下 载 ,下载 地 址 为 : 


http://www. microsoft. com/downloads/details. aspx? familyid = BB196D5D-76C2-4A0E-9458- 

267D22B6AAC6 &.displaylang= zh-cn 

2. 自动 审批 

默认 情况 下 ,WSUS 服务 器 是 不 运行 任何 自动 审批 规则 的 , 即 完 全 由 管理 员 手动 审批 
完成 。 通 过 启用 自动 审批 功能 ,可 以 将 特定 的 分 类 和 产品 类 型 的 更 新 ,审批 到 指定 的 客户 
端 ,这 样 可 以 大 大 减轻 管理 员 的 工作 负担 ,但 仅 限于 可 靠 性 较 高 的 更 新 。 为 避免 安装 更 新 之 
后 可 能 导致 的 各 种 麻烦 ,建议 审批 之 前 进行 严格 测试 ,确认 无 误 后 再 审批 到 客户 端 。 


@ 
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6.4 Windows 客户 端 配 置 


凡是 具备 自动 更 新 功能 的 Windows 操作 系统 ,都 可 以 配置 为 WSUS 客户 端 。 根据 客 
户 端 计算 机 所 在 网 络 环境 的 不 同 ,可 以 采取 不 同 的 配置 方法 。 在 域 环境 中 ,可 以 使 用 组 策略 
对 象 (GPO) 完 成 ; 在 工作 组 环境 中 ,可 以 使 用 本 地 组 策略 对 象 或 者 直接 修改 注册 表 完 成 。 
需要 注意 的 是 ,将 计算 机 配置 为 WSUS 客户 端 后 ,客户 端 计算 机 “控制 面板 ”中 的 自动 更 新 
就 会 失效 。 


6.4.1 通过 组 策略 编辑 器 配置 


如 果 通 过 组 策略 为 Active Directory 网 络 中 的 计算 机 指定 WSUS 升级 服务 器 的 地 址 ， 
需要 在 包括 网 络 中 所 有 计算 机 的 “组 织 单元 ”或 其 上 一 级 “组 织 单元 "配置 组 策略 ,或 者 将 需 
要 更 新 的 计算 机 “移动 ”到 一 个 新 创建 的 “组 织 单元 ”中 ,然后 再 对 该 组 中 的 所 有 计算 机 进行 
操作 。 

(1) 新 建 一 个 用 于 保存 所 有 WSUS 客户 端 计算 机 的 组 织 单位 ,当然 也 可 以 使 用 Active 
Directory 默认 提供 的 组 织 单位 。 使 用 新 建 计算 机 的 方法 将 客户 端 计算 机 添加 到 指定 的 组 
织 单位 中 ,也 可 以 从 其 他 组 织 单位 中 直接 拖 电 。 

(2) 依次 选择 “开始 ”一 “管理 工具 ”一 “组 策略 管理 ”选项 ,打开 “组 策略 管理 ”窗口 ,依次 
展开 * 林 ”一 * 域 "一 coolpen. net~>~test( 新 建 的 组 织 单位 ) 选 项 。 右 击 test 并 选择 快捷 菜单 中 
的 “在 这 个 域 中 创建 GPO 并 在 此 处 链接 ?选项 ,打开 如 图 6-36 所 示 的 “新 建 GPO” 对 话 框 ， 
在 “名 称 ” 文 本 框 中 ,输入 便于 识别 的 名 称 。 


BIT 
总 诡 件 中 捐 作 以 ) 宣 看 W 亩 口 ) 帮助 00 El 


图 6-36 “新 建 GPO” 对 话 框 


(3) 右 击 新 建 的 GPO 并 选择 快捷 菜单 中 的 “编辑 ”选项 ,打开 “组 策略 管理 编辑 器 ” 窗 
口 。 依 次 展开 “计算 机 配置 ”一 “策略 ”一 “管理 模板 ”>“Windows 组 件 ” 一 Windows Update 
选项 。 双 击 “ 配 置 自动 更 新 ”选项 ,打开 如 图 6-37 所 示 的 “配置 自动 更 新 属性 ”对 话 框 , 先 选 
中 “已 启用 ” 单 选 按钮 激活 下 面 的 选项 .然后 在 “配置 自动 更 新 ”" 右 侧 的 下 拉 列 表 框 中 选择 对 
应 的 自动 更 新 类 型 ,有 2 一 5 共 4 种 类 型 ,当选 择 第 4 种 类 型 “自动 下 载 并 计划 安装 ”, 即 自动 
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下 载 更 新 并 计划 安装 时 还 要 继续 设置 “计划 安装 日 期 * 和 “计划 安装 时 间 ” 选 项 ,指定 执行 安 
装 的 时 间 和 日 期 。 设 置 完 成 后 单 击 “ 应 用 ”和 “确定 ”按钮 ,保存 设置 。 
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图 6-37 启用 自动 更 新 功能 


(4) 双击 “指定 Intranet Microsoft 更 新 服务 位 置 ?策略 ,打开 如 图 6-38 所 示 的 “指定 
Intranet Microsoft 更 新 服务 位 置 属性 ?对 话 框 。 首 先 选 中 * 已 启用 ? 单 选 按钮 ,然后 在 “设置 


检测 更 新 的 Intranet 更 新 服务 ”文本 框 中 ,指定 局 域 网 
中 的 WSUS 服务 器 地 址 ,在 “设置 Intranet 统计 服务 
器 "文本 框 中 ,指定 用 于 获取 客户 端 状 态 信息 的 服务 器 
地 址 ,本 例 中 使 用 的 是 一 台 服 务 器 。 如 果 网 络 中 的 
WSUS 服务 器 和 统计 报表 服务 器 (只 用 于 获取 客户 端 
的 状态 和 需求 信息 ?分别 是 不 同 的 服务 器 , 则 此 处 指定 
时 应 格外 注意 。 

注意 : 设置 这 两 条 策略 的 顺序 千 万 不 可 颠倒 , 否 
则 将 不 会 生效 , 即 必须 先 启 用 “配置 自动 更 新 ”, 然 后 才 
可 以 设置 WSUS 服务 器 地 址 。 

(5) 保存 组 策略 编辑 结果 即 可 。 其 他 组 策略 现象 
用 户 也 可 以 根据 自己 的 需要 进行 修改 ,此 处 不 再 详细 
介绍 。 


6.4.2 通过 本 地 策略 配置 
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6-38 “指定 Intranet Microsoft 更 
新 服务 位 置 属性 ”对 话 框 


通过 组 策略 或 本 地 策略 编辑 器 配置 WSUS 客户 端 ,是 常用 的 方法 之 一 。 对 于 域 环境 中 
的 计算 机 , 则 管理 员 可 以 在 域 控 制 器 上 创建 应 用 于 需要 配置 客户 端的 组 策略 ,并 进行 相应 编 


辑 ; 而 工作 组 中 的 计算 机 则 可 以 通过 修改 本 地 策略 使 其 成 为 WSUS 客户 端 。 此 处 ,以 工作 
组 环境 中 的 Windows Vista 客户 端 为 例 加 以 介绍 。 

(1) 以 管理 员 账 户 登 录 计算 机 ,在 “组 策略 对 象 编辑 器 "窗口 中 ,依次 展开 “计算 机 配置 ”一 
“管理 模板 ”>“Windows 组 件 ” 一 Windows Update 选项 ,如 图 6-39 所 示 。 与 配置 域 组 策略 
完全 相同 ,需要 依次 配置 配置 自动 更 新 ”和 ”指定 Intranet Microsoft 更 新 服务 位 置 "策略 ， 
配置 过 程 此 处 不 再 袭 述 。 


图 6-39 “组 策略 对 象 编辑 器 ”窗口 


(2) 配置 完 WSUS 客户 端 后 ,在 Windows 目录 下 会 生成 WindowsUpdate. log 文件 ,可 
以 查看 此 客户 端 是 从 何 处 升级 的 补丁 及 升级 了 哪些 补丁 ,如 图 6-40 所 示 。 
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图 6-40 WSUS 客户 端 更 新 日 志 


提示 : 对 于 单独 客户 端 而 言 ,至 此 WSUS 客户 端 配置 已 经 完成 。 但 是 如 果 需 要 在 其 他 
同 配置 计算 机 上 部 署 WSUS 客户 端 ,逐一 配置 不 仅 浪 费时 间 , 而 且 容易 出 错 。 此 时 ,可 以 按 
有 照 如 下 步骤 导出 相关 键 值 ,然后 在 需要 部 署 的 计算 机 上 重新 导入 即 可 。 
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(3) 打开 “注册 表 编 辑 器 ”窗口 ,依次 展开 HRKEY_LOCAL_MACHINE-~SOFTWARE 一 
Policies 一 Microsoft>Windows 习 WindowsUpdate 选项 , 右 击 WindowsUpdate 并 选择 快捷 
菜单 中 的 “导出 ?选项 ,将 其 保存 到 本 地 计算 机 上 ,如 图 6-41 所 示 。 


二 
apV/19216810042 
hapyasz216810012 


图 6-41 导出 注册 表 键 值 


(4) 在 其 他 需要 部 署 WSUS 客户 端的 计算 机 上 ,双击 运行 导出 的 注册 表 文件 ,显示 * 注 
册 表 编辑 器 "对话 框 , 单 击 “ 是 ”按钮 即 可 将 其 包含 的 项 和 值 成 功 添加 到 注册 表 中 。 

提示 : 右 击 导 出 的 注册 表 文 件 ,并 选择 “编辑 ”选项 , 即 可 查看 其 中 的 具体 内 容 , 全 文 如 
下 。 如 果 WSUS 服务 器 地 址 或 端口 发 生变 化 ,只 需 重 新 修改 注册 表 文 件 中 的 相关 字段 , 保 
存 之 后 ,再 次 导入 即 可 ,非常 方便 。 


Windows Registry Editor Version 5.00 


[HKEY_LOCAL_ MACHINE\SOFTWARE\Policies\ Microsoft\Windows\ WindowsUpdate] 
"WUServer"="http://192.168.100.12" 
"WUStatusServer"="http://192.168.100.12" 


[HKEY_LOCAL MACHINE\SOFTWARE\Policies\ Microsoft\Windows\ WindowsUpdate\ AU] 
"NoAutoUpdate" =dword:00000000 

"AUOptions"=dword:00000002 

"ScheduledInstallDay" = dword:00000000 

"ScheduledInstallTime" 一 dword:00000003 

"UseWUServer" 一 dword:00000001 


6.4.3 客户 端 获取 并 安装 更 新 


WSUS 客户 端 获取 的 更 新 的 操作 都 是 “被 动 ” 的 , 即 只 能 接受 WSUS 服务 器 的 管理 和 控 
制 , 当 服务 器 发 布 了 适用 于 当前 客户 端 系统 的 更 新 之 后 ,系统 任务 栏 中 将 显示 相关 提示 信 
息 ,询问 用 户 是 否 下 载 或 安装 ,方法 与 使 用 WSUS 服务 器 之 前 完全 相同 ,此 处 不 再 缆 述 。 


6.4.4 知识 链接 : 组 策略 
由 于 组 策略 的 刷新 和 应 用 需要 一 定 的 时 间 ,所 以 保存 编辑 结果 后 ,即使 客户 端 重新 登录 
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了 域 控制 器 也 可 能 无 法 立即 联系 到 WSUS 服务 器 。 而 默认 情况 下 ,每 隔 90min 计算 机 组 策 
略 便 会 在 后 台 刷 新 一 次 ,刷新 的 时 间 可 能 随机 偏 移 0 一 30min, 客 户 端 计算 机 要 在 域 控制 器 
刷新 组 策略 20min 后 才 可 以 应 用 到 组 策略 。 如 果 想 要 以 更 快 的 速度 刷新 组 策略 ,可 以 在 服 
务 器 端 设置 组 策略 后 ,通过 运行 gpupdate 命令 让 设置 即时 生效 ,并 在 客户 端 计算 机 通过 运 
行 gpupdate /force 命令 立刻 生效 。 如 果 计 算 机 不 是 Active Directory 的 成 员 , 可 以 通过 运 
行 wuauclt. exe /detectnow 命令 来 消除 20min 的 延 时 。 


习题 


1. 简 述 企业 网 络 中 WSUS 服务 器 是 如 何 运作 的 及 有 哪些 优点 。 
2. WSUS 服务 器 的 数据 库 中 包含 哪些 信息 ? 
3. 如 何 配置 WSUS 服务 器 为 客户 端 自动 审批 更 新 ? 


实验 : 通过 各 种 方式 部 署 WSUS 客户 端 


实验 目的 : 

能 够 应 用 企业 网 络 中 的 WSUS 服务 器 实现 Windows Update。 

实验 内 容 : 

运用 各 种 方式 将 客户 端 计算 机 配置 为 WSUS 客户 端 ,例如 组 策略 .本 地 策略 .导入 注册 
表 文 件 等 。 

实验 步骤 ， 

(1) 在 域 中 部 署 备用 的 WSUS 服务 器 。 

(2) 在 客户 端 计算 机 上 运行 ping 命令 ,分 别 测试 到 WSUS 服务 器 的 连通 性 。 

(3) 使 用 组 策略 方式 为 域 中 的 指定 计算 机 启用 WSUS 客户 端 。 

(4) 登录 工作 组 中 的 计算 机 ,通过 修改 本 地 组 策略 启用 WSUS 客户 端 。 

(5) 通过 导入 注册 表 文件 ,快速 配置 WSUS 客户 端 。 

(6) 测试 WSUS 客户 端 是 否 能 通过 WSUS 服务 器 获取 系统 更 新 。 


Cisco IOS 安 全 


路 由 器 和 交换 机 是 计算 机 网 络 中 应 用 最 多 的 网 络 设备 ,其 安全 性 直接 影响 到 整个 网 络 
的 可 用 性 和 稳定 性 ,对 于 网 络 安全 起 着 至 关 重 要 的 作用 。 目 前 ,大 多 数 网 络 设备 都 是 可 网 管 
的 , 即 拥有 独立 的 操作 系统 ,允许 管理 员 进 行 各 项 应 用 配置 和 安全 配置 。 常 见 的 基于 Cisco 
IOS 的 安全 配置 包括 设置 密码 .关闭 多 余 服 务 .启用 加 密 传输 等 。 


7.1 Cisco IOS 安全 规划 


在 网 络 安全 方面 ,Cisco 公司 提供 了 专业 的 网 络 安全 防御 设备 ,例如 网 络 防火 墙 , 人 侵 
检测 系统 .人 侵 防 御 系 统 等 ,并 且 大 部 分 网 络 设备 均 支 持 一 定 的 网 络 安全 配置 功能 。 不 仅 如 
此 ,Cisco 还 允许 用 户 通过 配置 IOS 安全 功能 ,来 部 署 更 为 严密 的 安全 防护 。IOS 安全 体系 
结构 已 经 经 过 10 多 年 的 技术 革新 发 展 历程 ,能 够 为 企业 的 安全 防御 提供 坚实 基础 。 


7.1.1 案例 情景 


目前 该 企业 网 络 中 ,大 部 分 网 络 设备 均 为 Cisco 系列 的 可 网 管 系列 产品 。 安 全 配置 与 
访问 效率 本 来 就 是 相互 矛盾 的 ,过 多 的 安全 验证 措施 势必 会 影响 网 络 访问 和 传输 速率 。 为 
了 加 快 访 问 和 传输 速率 ,不 进行 任何 安全 配置 是 非常 危险 的 。 目 前 ,该 网 络 中 只 有 基于 物理 
设备 的 安全 防护 ,基于 网 络 设备 IOS 的 安全 配置 非常 有 限 , 存 在 严重 的 安全 隐患 。 网 络 安 
全 仍 有 较 大 的 提升 空间 。 


7.1.2 项 目 需求 


一 方面 是 访问 和 工作 效率 ; 另 一 方面 是 网 络 安全 。 对 于 企业 而 言 ,必须 决定 何 时 在 用 
户 的 访问 和 工作 效率 与 可 能 被 用 户 视 为 限制 的 安全 措施 之 间 进 行 折 中 ,寻求 两 者 之 间 的 平 
衡 , 才 是 最 完美 的 解决 方案 。 因 此 ,应 注重 一 些 合理 安全 措施 的 广泛 部 署 ,例如 加 密 , 对 网 络 
用 户 的 影响 较 小 ,又 可 以 大 大 提升 网 络 安全 性 。 

严格 限制 管理 员 的 访问 权限 ,不仅 需要 为 管理 员 账 户 设置 登录 密码 ,而 且 应 为 不 同 用 户 
配置 不 同 的 管理 员 上 账户, 并 赋予 不 同 的 操作 权限 级 别 。 目 前 ,该 网 络 中 并 没有 详细 的 
VLAN 划分 ,因此 网 络 访问 比较 混乱 ,网 络 设备 工作 效率 不 高 ,需要 根据 用 户 部 门 或 职能 的 
不 同 进行 合理 的 VLAN 划分 ,限制 用 户 之 间 的 相互 访问 ,尤其 是 安全 性 要 求 较 高 的 VLAN 
更 应 严格 限制 网 络 通信 。 


176 


计算 机 网 络 雪 全 


7.1.3 解决 方案 


基于 Cisco IOS 的 安全 配置 管理 主要 包括 访问 管理 .宿主 安全 、 传 输 加 密 、 传 输 控 制 、 
VLAN 划分 .日 志 收 集 与 分 析 、 访 问 控制 列表 等 。 鉴 于 该 网 络 当前 的 安全 需求 ,可 以 从 如 下 
几 个 方面 配置 网 络 安全 。 

(1) 访问 管理 。 访 问 管理 控制 方法 .方案 以 及 网 络 资源 的 发 布 , 并 提供 监督 和 控制 。 目 
前 ,企业 网 络 安全 正面 临 管理 主机 和 网 络 设备 以 及 远程 计算 机 的 挑战 ,关键 是 给 网 络 管理 员 
提供 控制 访问 的 多 种 方法 。 访 问 管理 是 Cisco IOS 安全 体系 的 重要 方面 。 为 了 满足 大 量 用 
户 的 访问 需求 ,Cisco IOS 安全 体系 为 客户 端 提供 广泛 的 访问 管理 功能 。 

(2) Cisco IOS 特权 级 别 。 每 个 用 户 都 拥有 独特 的 访问 管理 要 求 。 系 统管 理 员 可 以 通 
过 定制 对 IOS 软件 用 户 界面 的 访问 ,从 而 使 他 们 能 够 建立 对 网 络 设备 和 服务 器 的 访问 特权 
级 别 。 用 户 可 以 建立 多 达 16 个 访问 级 别 。 融 合 多 个 特权 级 别 可 以 实现 更 加 精细 的 访问 层 
次 ,对 于 Cisco IOS 用 户 界面 的 每 一 级 而 言 ,都 可 以 建立 单独 的 加 密 口 令 。 

(3) 访问 控制 列表 。 访 问 控制 列表 的 主要 功能 是 提供 数据 包 过 滤 。 通 过 在 核心 交换 机 
或 路 由 器 上 配置 访问 控制 列表 ,可 以 自动 过 滤 掉 某 些 类 型 的 网 络 访问 , 即 可 节约 网 络 设备 的 
开销 ,又 可 以 提升 网 络 安全 性 。 

(4) 划分 VLAN。 在 汇聚 层 交 换 机 上 划分 VLAN ,将 所 有 客户 端 分 配 到 不 同 的 VLAN 
中 , 既 可 隔离 网 络 广播 提高 通信 速率 ,又 可 以 确保 机 密 信 息 的 安全 ,控制 客户 端 之 间 的 网 络 
访问 。 

(5) 身份 验证 。 启 用 网 络 设备 的 身份 验证 功能 ,对 接 入 网 络 的 设备 或 用 户 进行 严格 身 
份 验 证 ,尤其 是 在 无 线 网 络 中 ,可 以 通过 加 密 传输 、 禁 止 广播 SSID 和 身份 验证 等 多 项 安全 
措施 ,确保 网 络 安全 。 


7.2 ” Cisco IOS 系统 安全 


IOS(Internet Operation System Software, 网 际 操作 系统 ) 是 Cisco 公司 跨越 主要 路 由 
和 交换 产品 的 软件 平台 ,类 似 于 计算 机 的 操作 系统 ,也 是 由 软件 工程 师 编 写 而 成 的 ,难免 会 
存在 系统 漏洞 .而 针对 网 络 设备 的 攻击 利用 的 就 是 IOS 自身 的 漏洞 。 影 响 网 络 设备 IOS 安 
全 的 因素 是 多 方面 的 ,例如 登录 密码 安全 .SNMP 安全 、 系 统 安全 日 志 


7.2.1 登录 密码 安全 


Cisco 的 Enable 密码 与 Windows 的 Administrator 密码 的 作用 和 重要 性 完全 相同 。 只 
要 知道 了 Enable 密码 ,就 可 以 对 交换 机 进行 任意 配置 和 管理 。 

1. 配置 Enable 密码 

默认 状态 下 ,Cisco 设备 的 Enable 密码 为 空 ,所 以 ,在 对 交换 机 进行 初始 配置 时 ,必须 为 
其 设置 Enable 密码 。Enable 密码 配置 过 程 如 下 。 

(1) 进入 全 局 配置 模式 。 


Cisco# configure terminal 
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(2) 为 特权 模式 指定 新 的 Enable 密码 。Enable 密码 可 包括 1 一 25 个 大 写 和 /或 小 写字 
母 , 也 可 以 包括 数字 。 密 码 长 度 应 当 大 于 6 个 字符 ,并 且 应 当 是 包含 大 小 写字 母 和 数字 的 无 
意义 的 字符 串 。 访 问 级 别 (level) 可 取 值 范围 为 0 一 15. 级 别 1(Level 1) 是 normal user 
EXEC 模式 ,拥有 最 低 权 限 。 级 别 15 是 privileged EXEC 模式 ,拥有 最 高 权限 ,默认 级 别 
是 15。 


Cisco(config) # enable secret[level level] password 
或 
Cisco(config) # enable password[level level] password 


提示 : 密码 的 第 1 个 字符 不 能 是 数字 。 当 有 多 个 网 络 管理 员 时 ,可 以 为 不 同 的 级 别 分 
别 设置 不 同 的 访问 密码 。 这 样 , 既 可 以 让 他 们 查看 网 络 配置 ,诊断 网 络 故障 ,同时 ,又 可 以 保 
障 网 络 设备 的 配置 安全 。 

(3) 加 密 新 的 密码 。 


Cisco(config) # service password-encryption 
(4) 返回 特权 模式 。 

Cisco(config) # end 

(5) 保存 修改 后 的 配置 。 


Cisco# copy running-config startup-config 


2. 配置 Telnet 密码 
Telnet 密码 配置 过 程 如 下 。 
(1) 进入 全 局 配置 模式 。 


Cisco# configure terminal 

(2) 输入 Telnet 进程 号 ,进入 Line 配置 模式 。 在 一 台 交 换 机 和 路 由 器 上 ,最 多 可 以 实 
现 16 个 Telnet 进程 ,方便 多 个 用 户 同时 查看 和 管理 。“0 15” 表 明 配 置 所 有 的 可 能 的 16 个 
进程 。 

Cisco(config) # line vty 0 15 

(3) 指定 Telnet 密码 。Telnet 密码 设置 要 求 与 Enable 相同 。 

Cisco(config)# password password 

(4) 返回 特权 模式 。 

CiscoCconfig) # end 

(5) 保存 修改 后 的 配置 。 

Cisco# copy running-config startup-config 


3. 配置 管理 用 户 
管理 用 户 配置 过 程 如 下 。 
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(1) 进入 全 局 配置 模式 。 
Cisco# configure terminal 


(2) 设置 管理 用 户 ,并 为 其 指定 级 别 。 用 户 名 中 间 不 能 有 空格 和 引号 。 级 别 (Level) 可 


取 值 范围 为 0 一 15,15 拥有 特权 模式 访问 权限 ,而 0 只 拥有 普通 用 户 权 限 。 用 户 密 码 
(Password) 设 置 要 求 与 Enable 密码 相同 。 


CiscoCconfig) # username name[privilege level] {password password} 
(3) 进入 Line 配置 模式 ,配置 Console(Line 0) 或 VTY Line(Line 0 一 15) 。 


Cisco(config) # line console 0 


Cisco(config) # line vty 0 15 

(4) 用 户 登 录 到 设备 时 ,启用 本 地 密码 检查 。 
Cisco( config-line) # login local 

(5) 返回 特权 模式 。 

Cisco(config) # end 


(6) 保存 修改 后 的 配置 。 


Cisco# copy running-config startup-config 


7.2.2 配置 命令 级 别 安 全 
控制 网 络 上 的 终端 访问 交换 机 的 一 个 简单 办 法 ,是 使 用 密码 保护 和 划分 特权 级 别 。 密 


码 可 以 控制 对 网 络 设备 的 访问 ,特权 级 别 可 以 在 用 户 登录 成 功 后 ,控制 其 可 以 使 用 的 命令 。 


1. 配置 多 个 用 户 级 别 
为 某 个 配置 命令 设置 多 个 用 户 级 别 时 ,配置 过 程 如 下 。 
(1) 进入 全 局 配置 模式 。 


Cisco# configure terminal 


(2) 设置 命令 的 级 别 划分 。mode 用 于 指定 命令 的 模式 。 其 中 ,configure 表示 全 局 配 


置 模式 ,exec 表示 特权 命令 模式 ,interface 表示 接口 配置 模式 ,line 表示 Line 配置 模式 。 
level 用 于 授权 级 别 ,范围 从 0 一 15。level 1 是 普通 用 户 级 别 ,level 15 是 特权 用 户 级 别 , 在 各 
用 户 级 别 间 切换 可 以 使 用 enable 命令 。command 则 用 于 指定 欲 授权 的 命令 。 


Cisco(config)# privilege mode level level command 


提示 : 当 将 一 条 命令 的 权限 授予 某 个 级 别 时 , 则 该 命令 的 所 有 参数 和 子 命令 都 同时 被 


授予 该 级 别 , 除 非 该 授权 被 收回 。 


(3) 返回 特权 模式 。 


Cisco(config) # end 
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(4) 保存 修改 后 的 配置 。 
Cisco# copy running-config startup-config 


若 欲 恢复 一 条 已 知 的 命令 授权 ,可 以 在 全 局 配置 模式 下 使 用 no privilege mode level 
level command 命令 。 

2. 登录 和 离开 授权 级 别 

在 特权 命令 模式 下 ,可 以 登录 到 指定 的 授权 级 别 , 或 者 离开 某 个 授权 级 别 。 

登录 到 指定 的 授权 级 别 。level 用 于 指定 级 别 ,范围 从 0 一 15。 


Cisco# enable level 
离开 到 指定 的 授权 级 别 。 


Cisco# disable level 


7.2.3 终端 访问 限制 安全 

通过 限制 对 交换 机 、 路 由 器 等 网 络 设备 的 访问 ,可 以 最 大 限度 地 避免 可 能 的 来 自 内 部 或 
外 部 的 恶意 网 络 攻击 ,并 可 有 效 地 预防 未 授权 用 户 或 权限 较 低 的 网 络 管理 员 修改 网 络 配置 ， 
从 而 保护 网 络 传输 的 稳定 和 安全 。 

1. 控制 虚拟 终端 访问 

控制 虚拟 终端 访问 配置 过 程 如 下 。 

(1) 进入 全 局 配置 模式 。 

Cisco# configure terminal 

(2) 配置 IP 访问 列表 。 

Cisco(Cconfig) # access-list access-lis-number permit ip-address 


提示 : Cisco 交换 机 的 访问 列表 配置 与 Cisco 路 由 器 完全 相同 ,详细 操作 参考 本 章 “ 路 
由 器 IOS 安全 配置 ”中 的 相关 内 容 。 
(3) 进入 Line 配置 模式 。 


Cisco(config)# line vty 0 4 

(4) 启用 IP 访问 列表 。 

Switch(config-line) # access-class access-class-number in 
(5) 返回 特权 模式 。 

Cisco(config-line) # end 

(6) 保存 修改 后 的 配置 。 

Cisco# copy running-config startup-config 


2. 控制 会 话 超时 
具体 更 改 超时 时 间 的 操作 步骤 如 下 。 
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(1) 进入 全 局 配置 模式 。 

Cisco# configure terminal 

(2) 进入 Line 配置 模式 。 

Cisco(config)# line vty 0 4 

(3) 设置 超时 连接 的 时 间 。 取 值 范围 为 0 一 35791 ,建议 采用 180。 
Switch(config-line) # exec-timeout seconds 

(4) 返回 特权 模式 。 

Cisco(config-line) # end 

(5) 保存 修改 后 的 配置 。 


Cisco# copy running-config startup-config 


7.2.4 SNMP 安全 


SNMP 字符 串 的 作用 类 似 于 密码 ,允许 拥有 合法 认证 名 的 用 户 同 交换 机 上 的 代理 通 
童 。 因 此 ,需要 对 SNMP 字符 串 的 安全 进行 重点 保护 。 

1. 配置 SNMP 字符 串 

为 了 更 加 安全 地 使 用 SNMP ,可 以 指定 以 下 一 个 或 者 几 个 属性 同 认 证 名 绑 定 。 

Q@ IP 地 址 ,通过 指定 IP 地 址 ,只 允许 该 IP 地 址 的 管理 者 有 权 同 代理 通信 。 

@ 读 写 权 限 ,通过 指定 读 写 权限 ,限制 管理 者 的 操作 。 

(1) 进入 全 局 配置 模式 。 


Cisco# configure terminal 


(2) 设置 SNMP 字符 串 。string 用 于 定义 字符 串 ,应当 使 用 较 长 的 ,没有 意义 的 、 不 容 
易 被 猪 到 的 字符 。ro 表示 定义 只 读 字符 串 ,只 享有 配置 读 取 权 限 ; rw 表示 可 写字 符 串 , 享 
有 配置 修改 权限 。access-list-number 用 于 指定 IP 标准 访问 列表 号 , 取 值 范围 为 1 一 99 和 
1300 一 1999 。 


Cisco(config)# snmp-server community string[ro| rw] [access-list-number] 


(3) 如 果 在 上 面 指定 了 了 P 访问 列表 ,那么 ,就 应 当 在 这 里 进行 创建 。 需 要 时 ,可 以 重复 
执行 该 命令 ,以 创建 多 条 访问 列表 项 。access-list-number 应 当 与 上 述 所 引用 的 访问 列表 号 
相同 。deny 关键 字 将 禁止 与 之 匹配 的 访问 ,permit 关键 字 则 允许 与 之 匹配 的 访问 。source 
用 于 指定 SNMP 管理 的 IP 地 址 。source-wildcard( 可 选 ) 用 于 指定 IP 地 址 范围 的 反 码 。 从 
安全 的 角度 考虑 ,只 需 设置 permit 允许 特定 IP 地 址 即 可 。 


Cisco(config) # access-list access-list-number{ deny |permit} source[source-wildcard] 
(4) 返回 特权 模式 。 


Cisco(config)# end 
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(5) 保存 修改 后 的 配置 。 
Cisco# copy running-config startup-config 


2. 配置 SNMP 组 和 用 户 
(1) 进入 全 局 配置 模式 。 


Cisco# configure terminal 


(2) 为 每 个 本 地 或 远程 SNMP 复制 配置 名 称 。engineid-string 是 一 个 24 字符 的 
SNMP 复制 ID 字符 串 , 不 过 ,为 0 的 部 分 不 需要 输入 。 例 如 , 当 欲 配置 的 本 地 设备 的 引擎 
ID 为 123400000000000000000000 时 ,只 需 输 入 snmp-server engineID local 1234 即 可 。 如 
果 选 择 的 是 远程 设备 ,那么 ,应 当 指定 其 SNMP 复制 的 IP 地 址 和 UDP 端口 号 即 可 。 默 认 
端口 号 为 162。 

Cisco (config ) # snmp-server engineID {local engineid -string | remote ip -address [udp-port port - 

number]jengineid-string} 

(3) 在 远程 设备 上 配置 新 SNMP 组 。groupname 用 于 指定 组 名 称 。vl 、v2c 和 v3 用 于 
指定 安全 模式 ,其 中 ,vl 安全 模式 最 低 ,v3 安全 模式 最 高 。auth 用 于 启用 Message Digest 5 
(MD5) 和 Secure Hash Algorithm(SHA) 包 认证 。priv 用 于 启用 Enables Data Encryption 
Standard(DES) 加 密 。noauthet 用 于 启用 noAuthNoPriv 加 密级 别 。 

Cisco(config)# snmp-server group groupname{vl|v2c|v3 {auth|noauth|priv) } [read readview] [write 

writeview] [notify notifyview] [access access-list] 

(4) 为 SNMP 组 添加 新 用 户 。username 用 于 指定 该 主机 上 的 用 户 名 称 ,groupname 用 
于 指定 将 该 用 户 加 入 的 用 户 组 。remote 用 于 指定 用 户 所 属 的 远程 SNMP 条 目 , 其 中 ,host 
用 于 指定 其 主机 名 和 IP 地 址 ,udp-port 用 于 指定 端口 号 (默认 值 为 162)。v1、v2c、v3 用 于 
指定 SNMP 版 本 。access-list 用 于 指定 访问 列表 。 如 果 指 定 为 v3 ,还 需要 指定 相应 的 认证 
方式 。 

Cisco (config ) # snmp-server user username groupname { remote host [udp-port port]} { vl [access 


access-list] | v2c [access _ access-list] | v3 [encrypted] [access _ access-list] [auth { md5 | sha} auth- 
password] } 


(5) 返回 特权 模式 。 
Cisco(Cconfig) # end 


(6) 保存 修改 后 的 配置 。 


Cisco# copy running-config startup-config 


7.2.5 HTTP 服务 安全 


Cisco IOS 允许 通过 Web 浏览 器 管理 交换 机 和 路 由 器 ,所 需 的 HTTP/HTTPS 服务 器 
软件 可 在 IOS 11.0 及 以 后 的 版 本 中 找到 。 这 虽然 使 网 络 配 置 变 得 更 加 简单 ,但 也 可 能 由 此 
而 产生 安全 漏洞 。 因 此 ,如 非特 别 需 要 ,建议 关闭 HTTP/HTTPS 服务 。 
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1. 关闭 HTTP 服务 

若 欲 关闭 HTTP 服务 ,可 依次 运行 如 下 命令 。 
Cisco# configure terminal 

Cisco(config)# no ip http server 


CiscoCconfig) # end 
Cisco# copy running-config startup-config 


使 用 show running-config 命令 进行 查看 时 ,会 发 现 HTTP 服务 已 经 被 关闭 。 若 需 启 
用 HTTP 访问 , 则 输入 下 述 命令 。 


Cisco# configure terminal 
Cisco(config)# ip http server 
Cisco(config) # end 

Cisco# copy running-config startup-config 


然后 ,再 通过 访问 控制 列表 过 滤 允 许 访问 网 络 设备 的 计算 机 。 

2. 配置 安全 HTTP 服务 

交换 机 和 路 由 器 不 但 可 以 启用 HTTP 服务 ,还 可 以 根据 需要 启用 安全 HTTP 服务 ,让 
交换 机 和 路 由 器 作为 认证 服务 器 ,从 而 提高 网 络 传输 的 安全 性 。 

(1) 进入 全 局 配置 模式 。 


Cisco# configure terminal 
(2) 启用 安全 HTTPS 服务 。 默 认 状态 下 ,HTTPS 服务 是 被 禁用 的 。 
Cisco(config) # ip http secure-server 


(3) (可 选 ) 指 定 HTTPS 服务 的 端口 号 。 默 认 端口 号 为 443, 有 效 取 值 范围 为 1025 一 
65535。 建 议 采 用 系统 默认 值 443 。 


Cisco(config)# ip http secure-port port-number 


(4) (可 选 ) 为 HTTPS 连接 指定 CipherSuites 加 密 算法 。 如 果 不 指定 加 密 算法 ， 
HTTPS 服务 器 与 客户 端 将 协商 所 采用 的 算法 。 默 认为 不 指定 加 密 算法 。 


Cisco( config) # ip http secure-ciphersuite{ [3des-ede-cbc-sha] [rc4-128-md5] [rc4-128-sha] [des-cbc-sha]} 


(5) (可 选 ) 在 连接 处 理 期 间 ,配置 HTTP 服务 从 客户 端 请 求 X. 509v3 证 书 。 默 认 情况 
下 ,客户 端 将 从 服务 器 请 求证 书 , 但 是 ,服务 器 不 会 尝试 从 客户 端 获取 证 书 。 


Cisco(Cconfig) # ip http secure-client-auth 
(6) 指定 CA 信任 点 (Trustpoint) 使 用 得 到 的 X. 509v3 证 书 认证 客户 端 连接 。 
Cisco(Cconfig) # ip http secure-trustpoint name 


(7) (可 选 ) 为 HTTP 服务 指定 主 目录 。 该 路 径 通常 位 于 网 络 设备 本 地 的 Flash 闪 
存 中 。 


Cisco(config)# ip http path path-name 
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(8) (可 选 ) 指 定 一 个 允许 访问 HTTP 服务 的 访问 列表 。 
Cisco(config)# ip http access-class access-list-number 


(9) (可 选 ) 设 置 访问 HTTP 服务 的 并 发 最 大 数 。 取 值 范围 为 1 一 16, 默 认 值 为 5。 如 
果 网 络 内 只 有 一 个 网 络 管理 员 ,那么 ,该 值 可 以 设置 为 1。 

Cisco(config) # ip http max-connections value 

(10) (可 选 ) 指 定 在 几 种 情形 下 ,能 够 与 HTTP 服务 保持 多 长 时 间 的 连接 。idle 用 于 指 
定 在 没有 数据 发 送 和 接收 时 所 允许 连接 的 最 长 时 间 , 取 值 范围 为 1 一 600s, 默 认 值 为 180s。 
life 用 于 指定 所 允许 的 连接 持续 的 最 长 时 间 , 取 值 范 围 为 1 一 86400s, 默 认 值 为 180s。 
requests 用 于 指定 在 一 个 连接 上 所 允许 的 请 求 处 理 最 大 数 ,最 大 值 为 86400, 默 认 值 为 1。 
从 安全 的 角度 考虑 ,idle 取 值 应 当 在 120 一 180s,life 取 值 应 当 在 180 一 300s,requests 取 值 
为 


Cisco(config) # ip http timeout-policy idle seconds life seconds requests value 


(11) 返回 特权 模式 。 


Cisco(config) # end 
(12) 保存 修改 后 的 配置 。 
Cisco# copy running-config startup-config 


3. 配置 安全 HTTP 客户 端 

如 果 没 有 配置 CA 信任 点 , 当 远程 HTTPS 服务 器 请 求 客 户 端 认 证 时 ,到 该 HTTP 客 
户 端的 连接 将 失败 。 因 此 ,必须 配置 安全 HTTP 客户 端 。 

(1) 进入 全 局 配置 模式 。 

Cisco# configure terminal 

(2) (可 选 ) 指 定 远程 HTTP 服务 器 请 求 客户 端 认证 时 使 用 的 CA 信任 点 。 使 用 该 命令 
的 前 提 是 已 经 配置 了 CA 信任 点 。 当 然 , 如 果 客 户 端 无 须 认 证 ,或 者 根 信任 点 已 经 存在 , 那 
么 ,该 命令 并 非 必需 。 

CiscoCconfig) # ip http client secure-trustpoint name 

(3) (可 选 ) 为 HTTPS 连接 指定 CipherSuites 加 密 算 法 。 如 果 不 指 定 加 密 算 法 ， 
HTTPS 服务 器 与 客户 端 将 协商 所 采用 的 算法 。 默 认为 不 指定 加 密 算 法 。 


Cisco(Cconfig) # ip http secure-ciphersuite{ [3des-ede-cbc-sha] [rc4-128-md5] [rc4-128-sha] [des-cbc- 
sha]} 


(4) 返回 特权 模式 。 
Cisco(config)# end 


(5) 保存 修改 后 的 配置 。 


Cisco# copy running-config startup-config 
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7.2.6 系统 安全 日 志 


网 络 设备 的 Syslog 日 志 功 能 可 以 将 某 些 重要 事件 信息 (如 系统 错误 、 系 统 配 置 、 状 态 变 
化 状态 定期 报告 和 系统 退出 等 ) 或 用 户 设 定 的 期 望 信息 传送 给 日 志 服 务 器 ,网 络 管理 人 员 
依据 这 些 信息 掌握 设备 的 运行 状况 ,及 早 发 现 问 题 ,及 时 进行 配置 设 定 和 排 障 ,保障 网 络 安 
全 稳定 的 运行 。 

1. 启用 系统 日 志 信息 

当 系统 日 志 信息 被 关闭 后 ,借助 以 下 操作 ,可 以 重新 启用 日 志 信息 。 

(1) 进入 全 局 配置 模式 。 


Cisco# configure terminal 
(2) 启用 系统 日 志 信息 。 
Cisco(Cconfig) # logging on 
(3) 返回 特权 模式 。 
CiscoCconfig)# end 

(4) 查看 日 志 信息 状态 。 


Cisco# show running-config 
Cisco# show logging 


(5) 保存 修改 后 的 配置 。 

Cisco# copy running-config startup-config 

2. 设置 日 志 信 息 目 的 设备 

当 系 统 日 志 信 息 功 能 被 启用 后 .默认 状态 下 将 存储 在 网 络 设备 的 缓存 中 。 而 网 络 设备 
一 旦 次 痰 ,缓存 中 的 日 志文 件 将 被 全 部 丢失 ,除非 事先 将 其 保存 至 闪存 中 。 因 此 ,车 欲 借 助 
日 志文 件 分 析 故 障 和 安全 事件 ,必须 将 日 志 信息 存储 在 其 他 目的 设备 。 

设置 日 志 信息 存储 设备 配置 过 程 如 下 。 

(1) 进入 全 局 配置 模式 。 


Cisco# configure terminal 


(2) 将 日 志 信 息 记 录 到 设备 内 置 的 缓存 。 默 认 缓存 大 小 为 4096 字 节 ,可 取 值 范围 为 
4096 一 2147483647 字 节 。 

提示 : 因为 交换 机 其 他 任务 也 需要 使 用 该 缓存 ,建议 不 要 将 缓存 设置 得 太 大 。 使 用 
show memory 命令 可 以 查看 交换 机 中 空闲 的 内 存 。size 的 设置 值 一 定 要 小 于 最 大 可 用 值 。 


CiscoCconfig) # logging buffered[size] 


(3) 将 日 志 记 录 到 UNIX 系统 日 志 服 务 器 。host 可 以 是 系统 日 志 服 务 器 的 计算 机 名 称 
或 卫 地 址 。 如 果 有 多 台 UNIX 系统 日 志 服务 器 ,应 当 重 复 执行 该 命令 。 


Switch(config) # logging host 
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(4) 将 系统 日 志保 存在 设备 闪存 中 。max-file-size 用 于 指定 日 志文 件 的 最 大 尺寸 , 取 值 
范围 为 4096 一 2147483647 字 节 ,默认 值 为 4096 字 节 。min-file-size 用 于 指定 日 志文 件 的 最 
小 尺寸 , 取 值 范围 为 1024 一 2147483647 字 节 ,默认 值 为 2048 字 节 。severity-level-number | 
type, 用 于 指定 每 个 日 志 的 严重 级 别 或 日 志 类 型 , 取 值 范围 为 0 一 7。 

Cisco(config) # logging file flash:filename[max-file-size[min-file-size]] [severity-level-number|type] 

提示 : 将 日 志保 存在 设备 闪存 中 是 个 不 错 的 选择 。 特 别 是 当 没 有 专门 的 UNIX 系统 日 
志 服 务 器 时 。 

(5) 返回 特权 模式 。 

Cisco(config-line) # end 

(6) 校 验 配置 。 

Cisco# show running-config 

(7) 保存 修改 后 的 配置 。 

Cisco# copy running-config startup-config 

3. 配置 日 志 消息 的 时 间 戳 

当时 间 戳 功能 打开 时 , 源 设 备 发 出 的 系统 信息 中 有 该 信息 产生 时 的 日 期 和 时 间 ,该 功能 
默认 是 打开 本 地 时 间 ,在 没有 系统 时 钟 的 设备 上 ,默认 是 打开 系统 上 的 本 地 时 间 。 在 默认 情 
况 下 ,日志 消 息 没有 时 间 戳 。 

在 特权 EXEC 模式 下 开始 ,启用 log 消息 的 时 间 标签 。 

(1) 进入 全 局 配置 模式 。 

Switch# configure terminal 


(2) 启用 log 时 间 标 签 。 


Switch(config) # service timestamps log uptime 


Switch (config) # service timestamps log datetime[msec] [localtime] [show-timezone] 
(3) 返回 特权 EXEC 模式 。 

Switch(config-if) # end 

(4) 校 验 配 置 。 

Switch# show running-config 

(5) 保存 配置 。 

Switch# copy running-config startup-config 


若 要 禁用 调试 和 log 消息 的 时 间 标 签 ,可 使 用 no service timestamps 全 局 配置 指令 。 
4. 配置 日 志 序列 号 
当 序列 号 功能 打开 时 , 源 设备 发 出 的 系统 信息 中 有 该 信息 产生 的 序列 号 值 。 默 认 情 况 
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下 ,日 志 消息 的 序列 号 是 不 显示 的 。 


在 特权 EXEC 模式 下 开始 ,启用 log 消息 的 序列 号 。 
(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 

(2) 启用 序列 号 。 

Switch(config) # service sequence-numbers 
(3) 返回 特权 EXEC 模式 。 
Switch(config-if) # end 

(4) 校 验 配置 。 

Switch# show running-config 

(5) 保存 配置 。 

Switch# copy running-config startup-config 


若 欲 禁用 序列 号 ,使 用 no service sequence-numbers 全 局 配置 命令 即 可 。 

5. 定义 消息 严重 等 级 

可 以 限制 将 某 种 级 别 的 消息 发 送 至 某 种 目的 设备 。 在 特权 EXEC 模式 下 开始 ,借助 以 
下 步骤 可 以 定义 消息 的 严重 等 级 及 目的 设备 。 

(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 
(2) 限制 将 消息 发 送 到 控制 台 。 
Switch(config) # logging console level 
(3) 限制 将 消息 发 送 到 终端 。 
Switch(config) # logging monitor level 
(4) 限制 将 消息 发 送 到 日 志 服 务 器 。 
Switch(config) # logging trap level 

(5) 返回 特权 EXEC 模式 。 
Switch(config-if) # end 

(6) 校 验 配置 。 


Switch# show running-config 


Switch# show logging 


(7) 保存 配置 。 
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Switch# copy running-config startup-config 


若 欲 禁用 控制 台 上 的 日 志 , 使 用 no logging console 全 局 配置 命令 即 可 。 若 欲 禁用 到 终 
端 或 其 他 控制 台 的 日 志 , 使 用 no logging monitor 全 局 配置 即 可 。 若 欲 禁 用 系统 日 志 陷 阱 ， 
使 用 no logging trap 全 局 配置 命令 即 可 。 

6. 限制 日 志 发 送 到 历史 表 和 SNMP 

将 系统 日 志 消息 陷阱 发 送 到 SNMP 网 络 管理 站 点 后 ,使 用 snmp-server enable trap 全 
局 配置 命令 ,可 以 改变 发 送 消息 的 等 级 ,并 存储 在 交换 机 历史 表 中 ,也 可 以 改变 存储 在 历史 
表 中 消息 的 数量 。 消 息 被 存储 在 历史 表 中 ,是 因为 SNMP 陷阱 不 能 保障 每 个 消息 都 能 到 达 
目的 地 。 默 认 情 况 下 ,一 个 警告 等 级 的 消息 和 低 编 号 的 等 级 被 存储 在 历史 表 中 ,甚至 系统 日 
志 陷 阱 也 不 被 启用 。 

在 特权 EXEC 模式 下 , 按 如 下 步骤 可 以 改变 等 级 和 历史 表 上 默认 大 小 。 

(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 

(2) 改变 存储 在 历史 文件 中 和 发 送 到 SNMP 服务 器 的 系统 日 志 消 息 等 级 。 
Switch(config) # logging history level 

(3) 指定 可 以 被 存储 在 历史 表 中 的 系统 日 志 消息 的 编号 。 

SwitchCconfig) # logging history size number 

(4) 返回 特权 EXEC 模式 。 

Switch(config-if) # end 

(5) 校 验 配 置 。 

Switch# show running-config 

(6) 保存 修改 后 的 配置 。 


Switch# copy running-config startup-config 


当 历 史 表 满 时 ,最早 的 消息 就 会 从 表 中 删除 ,允许 新 消息 被 存储 。 
将 系统 log 消息 返回 到 默认 等 级 ,可 以 使 用 no logging history 全 局 配置 命令 。 返 回 在 
历史 表 中 消息 的 编号 到 默认 值 ,可 以 使 用 no logging history size 全 局 配置 命令 。 


7.2.7 IOS 系统 版 本 升级 


IOS 是 Cisco 拥有 的 核心 软件 数据 包 ,主要 在 Cisco 路 由 器 和 交换 机 上 实现 。IPS( 入 侵 
防御 系统 ) 则 是 包括 Cisco 路 由 器 在 内 的 许多 网 络 产品 具有 的 保护 功能 ,能 够 实时 阻止 未 经 
授权 的 网 络 访问 和 恶意 代码 。 众 所 周知 ,Cisco IOS 难免 会 出 现 种 种 漏洞 , 某 些 情况 下 ,恶意 
用 户 就 可 以 利用 IOS 漏洞 绕 过 IPS 侵入 系统 ,并 影响 IPS 的 正常 运行 ,甚至 使 其 瘫痪 ,从 而 
导致 拒绝 服务 ?攻击 的 发 生 。 因 此 ,路 由 器 和 交换 机 (尤其 是 路 由 器 ) 必 须 及 时 为 IOS 安装 
升级 补丁 封 堵 漏 洞 。 
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1. 备份 系统 软件 映像 

为 了 保证 网 络 设备 系统 映像 在 意外 损坏 (如 误 删除 .闪存 故障 或 被 恶意 攻击 者 破坏 ) 和 
保障 系统 映像 升级 后 , 遇 到 问题 时 可 以 迅速 恢复 ,应 当 及 时 备份 系统 软件 映像 ,特别 是 在 执 
行 IOS 系统 升级 前 ,必须 要 执行 该 操作 。 系 统 映像 的 备份 需要 借助 TFTP 服务 器 完成 。 下 
面 以 Cisco 3640 系统 映像 的 备份 为 例 介 绍 。 

(1) 运行 Cisco TFTP 服务 器 ,通过 Console 端口 .超级 终端 或 Telnet 登录 至 需要 备份 
系统 映像 的 网 络 设备 。 

提示 : 充当 TFTP 服务 器 的 计算 机 必须 关闭 网 络 防火 墙 , 开 启 TFTP 服务 端口 。 并 且 
交换 机 的 了 P 访问 列表 中 不 能 限制 TFTP 端口 。 

(2) 进入 全 局 配置 模式 。 


Cisco# configure terminal 
(3) 查看 当前 闪存 中 的 IOS 系统 版 本 ,如 图 7-1 所 示 。 


Cisco# show version 


ETELITICIIETIELT] 
DB 3 DH 
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sco Internetwork Opers stem Sof tware, 
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oy: System Bootstrap, Version 11.1(28)AA2, EARLY DEPLOYMENT RELERSE SOFTWRRE (f 
Router uptime is 7 minutes 

System restarted by reload 

System image file 1s “flash:c3648-d-mz.120-6.bin™ 

se 3668 (R4700) processor (revision Gx80) with 24576K/8192K bytes of nemory, 


Processor board ID 28949105 
A900 ocean is 33, Revision 1.9 
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DAY Conf iourotion Is G4 bits ide with parity disabled. 
es of non-volatile configural 
全 bytes of processor board Wysten lash Read/Wri te) 
Configuration register is Gx2102 
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图 7-1 查看 当前 IOS 系统 版 本 
(4) 查看 闪存 中 的 文件 夹 和 系统 映像 文件 名 称 , 如 图 7-2 所 示 。 确 认 系 统 文件 名 称 为 
c3640-d-mz. 120-4. bin ,IOS 映像 文件 的 扩展 名 为 . bin。 
Cisco# dir flash: 


提示 : 如 果 和 系统 文件 位 于 子 文件 夹 中 ,可 以 使 用 cd sub_dir 命令 进入 该 子 文件 夹 , 然 
后 ,再 使 用 dir 命令 查看 系统 文件 映像 名 称 。 

(5) 将 软件 映像 上 传 至 TFTP 服务 器 ,如 图 7-3 所 示 。 在 提示 符 下 ,指定 源 IOS 文件 
名 、TFTP 服务 器 地 址 .目的 IOS 文件 名 和 系统 映像 将 被 上 传 至 TFTP 服务 器 。 


Cisco# copy flash tftp 
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ET 
DB 3 DH 


Routertidir flash: 
Directory of flash:/ 


1 -rw 4300429 <no date> c3649-d-mz.129-4.bin 
16777216 bytes total (12476732 bytes free) 
Routert_ 


ET i 


图 7-2 查看 闪存 文件 系统 


[ND MR NE PO NED WO 
DB Ss3 DH 


tar flash tft! 
从 Tsnane (1? c3640-d-mz.120 


mt ri 
tee 1 
12111911 


Ce bytes copied in 53.298 secs (81149 bytes/sec) 
outer 


图 7-3 将 IOS 上 传 至 TFTP 服务 器 


2. 恢复 或 升级 系统 软件 映像 

使 用 TFTP 服务 器 ,可 以 通过 网 络 将 系统 软件 映像 下 载 到 网 络 设备 。 当 软件 映像 下 载 
时 ,该 映像 文件 被 下 载 至 超级 引擎 闪存 中 。 如 果 闪 存 的 容量 够 大 ,可 以 在 其 中 保存 多 个 映像 
文件 ,并 选择 用 于 引导 的 映像 文件 。 

(1) 将 下 载 的 软件 映像 复制 至 Cisco TFTP 服务 器 默认 目录 (C:\program files\Cisco 
Systems\Cisco TFTP Server) 。 通 过 Console 端口 .超级 终端 或 Telnet 登录 至 交换 机 。 如 
果 使 用 Telnet 登录 交换 机 ,那么 , 当 交换 机 运行 新 软件 而 重新 启动 时 ,将 断 开 连 接 。 

提示 : 同时 使 用 Console 端口 和 以 太 网 端口 ,连接 管理 计算 机 和 要 升级 系统 映像 的 网 
络 设备 ,将 大 大 提高 系统 映像 的 复制 速度 。 

(2) 查看 网 络 设 备 闪 存 容 量 , 确 认 系统 映像 小 于 或 等 于 该 值 。 


Cisco# show flash: 
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(3) 从 TFTP 服务 器 下 载 软件 映像 ,如 图 7-4 所 示 。 在 提示 符 下 输入 TFTP 服务 器 的 
IP 地 址 或 主机 名 ,以 及 要 更 新 升级 的 IOS 文件 名 ,并 确认 删除 原 有 的 系统 映像 。 网 络 设备 
将 从 TFTP 服务 器 下 载 映像 文件 .并 将 映像 复制 到 引导 闪存 。 


Cisco# copy tftp flash 
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图 7-4 更 新 IOS 系统 映像 


(4) 重新 引导 IOS 系统 。 


Cisco# reload 


(5) 按 Ctrl 十 Break 键 , 中 断 网 络 设 备 的 正常 启动 ,进入 ROM 监视 模式 ,如 图 7-5 所 示 ， 
指定 用 于 引导 的 映像 文件 名 称 。 


Cisco# boot flash:c3640-js-mz.122-29.bin 


(6) 再 次 


Cisco# reset 


新 引导 IOS 系统 


(7) 查看 更 新 的 IOS 版 本 ,如 图 7-6 所 示 。 
7.2.8 知识 链接 : 系统 安全 
1. IOS 登录 密码 


Cisco 的 Enable 密码 有 两 种 类 型 , 即 secret password 和 password 。 


其 中 ,前 者 被 加 密 


存储 ,安全 性 较 强 ,使 用 show 命令 不 能 查看 到 密码 内 容 。 而 后 者 则 未 被 加 密 , 安 全 性 较 差 ， 
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16384K bytes of processor board ten flash (Read/Write) 


Configuration register is 0x2102 


Router 
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图 7-6 查看 更 新 的 IOS 版 本 


可 以 使 用 show 命令 查看 。 因 此 ,从 安全 的 角度 考虑 ,建议 使 用 更 加 安全 的 secret password。 

secret password 较 password 的 级 别 更 高 , 当 设置 了 secret password 后 ,将 不 再 能 够 使 
用 password。 两 种 密码 对 大 小 写 都 敏感 , 即 大 写字 母 A 与 小 写字 母 a 是 两 种 不 同 的 符号 ， 
所 以 ,必须 牢记 该 密码 。 

2. 命令 级 别 安全 

在 默认 情况 下 ,系统 只 有 两 个 受 口令 保护 的 授权 级 别 , 即 普 通用 户 级 别 和 特权 用 户 级 
别 。 不 过 ,可 以 为 每 个 模式 的 命令 划分 16 个 授权 级 别 。 通 过 给 不 同 的 级 别 设置 口令 ,就 可 
以 使 不 同 的 授权 级 别 使 用 不 同 的 命令 集合 。 例 如 , 想 让 更 多 的 授权 级 别 使 用 某 一 条 命令 , 则 
可 以 将 该 命令 的 使 用 权 授予 较 低 的 用 户 级 别 。 而 如 果 想 让 命令 的 使 用 范围 小 一 些 , 则 可 以 
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将 该 命令 的 使 用 权 授予 较 高 的 用 户 级 别 。 

当 在 Cisco IOS 中 进入 不 同 的 权限 等 级 时 ,权限 等 级 越 高 ,能 进行 的 操作 就 越 多 。 例 
如 ,用 户 在 默认 配置 下 登录 到 Cisco 路 由 器 或 交换 机 的 用 户 配 置 模式 (最 低 权 限 级 别 ) 下 时 ， 
只 能 查看 某 些 信息 (接口 状态 .路 由 信息 等 ) ,但 不 能 进行 任何 修改 或 查看 运行 的 配置 文件 。 
当 需 要 修改 IOS 配置 时 ,就 必须 凭借 密码 进入 特权 配置 模式 (最 高 权限 级 别 ), 此 时 用 户 即 
可 对 设备 进行 全 面 控制 。 

3. 终端 访问 限制 

默认 状态 下 ,可 以 通过 任何 网 络 中 的 任意 计算 机 登录 到 交换 机 或 路 由 器 。 因 此 ,必须 将 
访问 列表 应 用 于 虚拟 终端 线路 上 ,使 得 拥有 特定 IP 地 址 的 用 户 才 有 权 访 问 网 络 设备 ,建立 
Telnet 会 话 。 会 话 空闲 超时 限制 主要 用 于 确保 建立 会 话 后 ,管理 员 暂 时 离开 控制 台 的 连接 
空闲 时 间 内 的 操作 安全 ,严防 恶意 用 户 乘虚 而 人。 

4. SNMP 协议 安全 

SNMP 是 一 种 应 用 协议 ,为 SNMP 管理 者 和 代理 间 的 通信 定义 了 协议 消息 格式 。 
SNMP 管理 者 可 以 是 网 络 管理 系统 的 一 部 分 ,代理 和 管理 信息 库 (MIB) 包 含 在 交换 机 上 , 通 
过 配置 交换 机 上 的 SNMP, 可 以 规定 管理 者 同 代理 之 间 的 联系 。SNMP 代理 包含 SNMP 管 
理 者 能 够 请 求 或 更 改 的 管理 变量 。 管 理 者 能 够 从 代理 那里 获得 管理 变量 值 或 者 向 代理 设置 
管理 变量 值 。 代 理 从 MIB( 包 含 设备 的 参数 和 网 络 数据 信息 ) 中 收集 管理 信息 。 代 理 也 能 
够 响应 管理 者 发 出 的 设置 或 请 求 操作 。 代 理 能 够 向 管理 者 主动 发 出 TRAP 信息 。TRAP 
信息 是 用 来 向 管理 者 通告 网 络 中 的 某 种 事件 的 发 生 。TRAP 信息 能 够 通告 认证 失败 、 重 启 
动 .连接 状态 和 拓扑 改变 等 重要 的 事件 的 发 生 。 

5. IOS 安全 日 志 

日 志 是 重要 的 系统 资源 ,IOS 安全 日 志 记录 了 网 络 设备 运行 的 重要 状态 信息 ,是 排除 网 
络 故障 .检测 安 全 漏洞 的 重要 依据 。 根 据 时 间 、 严 重 程度 的 不 同 ,IOS 日 志 信 息 可 以 分 为 
0~7 级 共 8 级 ,其 中 0 级 表示 情况 最 严重 。IOS 日 志 信息 的 现实 格式 如 下 : 


seq no:timestamp: ,facility-severity-MNEMONIC:description 


7.3 交换 机 IOS 安全 配置 


交换 机 是 网 络 中 最 主要 的 集 线 设 备 ,分 布 于 整个 网 络 的 所 有 分 支 , 因 此 通常 也 是 网 络 管 
理 员 部 署 网 络 策略 的 最 好 选择 。Cisco IOS 不 仅 适 用 于 Cisco 路 由 器 ,而 且 适 用 于 Cisco 三 
层 和 四 层 交 换 机 ,并 且 支 持 丰富 的 扩展 功能 ,如 远程 监控 端口 传输 控制 .VLAN 划分 等 。 


7.3.1 基于 端口 的 传输 控制 


借助 对 端口 传输 控制 的 配置 , 既 可 以 有 效 杜绝 广播 风暴 对 整个 网 络 的 冲击 ,从 而 保证 网 
络 的 正常 通信 。 同 时 ,又 可 以 拒绝 未 被 授权 的 计算 机 接 人 网 络 ,或 者 限制 某 个 端口 接 人 计算 
机 的 数量 ,从 而 保证 网 络 的 接 入 安全 ,避免 网 络 被 个 别 用 户 滥用 。 

1. 风暴 控制 

当 端 口 接收 到 大 量 的 广播 、 单 播 或 多 播 包 时 ,就 会 发 生 广 播 风暴 。 转 发 这 些 包 将 导致 网 
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络 速度 变 慢 或 超时 。 同 时 ,由 于 广播 包 被 所 有 用 户 接收 和 处 理 , 多 播 包 也 将 被 部 分 用 户 接收 
和 处 理 , 因 此 ,也 将 大 大 降低 服务 器 、 客 户 计 算 机 的 处 理 能 力 。 借 助 于 对 端口 的 广播 风暴 控 
制 ,可 以 有 效 地 避免 硬件 损坏 或 链 路 故障 导致 的 网 络 瘫痪 。 上 默认 状态 下 ,广播 .多 播 和 单 播 
风暴 控制 被 禁用 ,管理 员 可 以 按照 如 下 操作 启用 端口 的 风暴 控制 。 

(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 
(2) 指定 欲 配置 的 接口 。 
Switch(config) # interface interface-id 


(3) 配置 广播 (broadcast)、 多 播 Cmulticast) 或 单 播 (unicast) 风 暴 控制 。 默 认 状 态 下 , 风 
暴 控制 被 禁用 。 

O@O level: 指定 阻塞 端口 的 带宽 上 限 值 。 当 广播 ,多 播 或 单 播 传输 占 到 宽带 的 多 大 比例 
(百分比 ) 时 ,端口 将 阻塞 传输 。 取 值 范 围 为 0. 00 一 100. 00。 如 果 将 值 设置 为 100 儿 ,将 不 限 
制 任何 传输 ; 如 果 将 值 设 置 为 0% ,那么 ,该 端口 的 所 有 广播 多 播 和 单 播 都 将 被 阻塞 。 

@ level-low: 指定 启用 端口 的 带宽 下 限 值 。 该 值 应 当 小 于 或 等 于 下 限 值 , 当 广播 \ 多 播 
或 单 播 传输 占用 带宽 的 比例 低 于 该 值 时 ,端口 恢复 转发 传输 。 取 值 范围 为 0.00 一 100. 00。 

@ bps: 指定 端口 阻塞 的 传输 速率 上 限 值 。 当 广播 .多 播 或 单 播 传输 达到 每 秒 若干 比 
特 (bps) 时 ,端口 将 阻塞 传输 。 取 值 范围 为 0. 0 一 10000000000.0。 

@ bps-low: 指定 端口 启用 的 传输 速率 下 限 值 。 该 值 应 当 小 于 或 等 于 下 限 值 , 当 广 播 、 
多 播 或 单 播 传输 低 于 每 秒 若 干 比特 (bps) 时 ,端口 将 恢复 传输 。 取 值 范 围 为 0.0 一 
10000000000.0。 如 果 数 值 较 大 ,也 可 以 使 用 Kbps、Mbps 或 Gbps 等 单位 表示 。 

@@ pps: 指定 端口 阻塞 的 转发 速率 上 限 值 。 当 广播 .多 播 或 单 播 传输 速率 达到 每 秒 若 
干 包 (pps) 时 ,端口 将 阻塞 传输 。 取 值 范围 为 0.0 一 10000000000. 0。 

@ pps-low: 指定 端口 启用 的 传输 速率 下 限 值 。 该 值 应 当 小 于 或 等 于 下 限 值 , 当 广 播 、 
多 播 或 单 播 转发 速率 低 于 每 秒 若干 包 (pps) 时 ,端口 将 恢复 传输 。 取 值 范围 为 0. 0 一 
10000000000.0。 如 果 数 值 较 大 ,也 可 以 使 用 Kbps、Mbps 或 Gbps 等 单位 表示 。 

Switch(config-if) # storm-control{ broadcast | multicast | unicastj level { level [level-low] | bps bps[bps- 

low] |pps pps[pps-low]} 

(4) 指定 风暴 发 生 时 如 何 处 理 。 默 认 状 态 下 ,将 过 滤 外 出 的 传输 ,并 不 发 送 SNMP 陷 
阱 。 选 择 shutdown 关键 字 , 在 风暴 期 间 将 禁用 端口 ; 选择 trap 关键 字 , 当 风暴 发 生 时 , 产 
生 一 个 SNMP 陷阱 ,向 网 络 管理 软件 发 出 警报 。 


Switch(config-if) # storm-control action{shutdown |trap} 
(5) 返回 特权 配置 模式 。 

Switch(config-if) # end 

(6) 显示 并 校 验 该 接口 当前 的 配置 。 


Switch# show storm-control[interface] [{broadcast|history|multicast| unicast}] 
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(7) 保存 风暴 控制 配置 。 
Switch# copy running-config startup-config 
提示 : 如 果 要 禁用 端口 的 风暴 控制 , 则 只 需 在 端口 配置 模式 下 运行 如 下 命令 即 可 : 


no storm-control{broadcast| multicast| unicast} 


或 者 运行 如 下 命令 禁用 指定 的 风暴 控制 动作 : 


no storm-control action{shutdown|trap} 


2. 流量 控制 
当 在 交换 机 配置 有 QoS(Quality of Service) 时 ,不 要 再 配置 IEEE 802. 3x 流量 控制 。 
(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 
(2) 选择 欲 配 置 的 端口 ,进入 接口 配置 模式 。 
Switch(config) # interface interface-id 


(3) 设置 端口 的 流量 控制 模式 。Receive on( 或 desired) 端口 不 能 发 送 暂停 帧 ,但 是 能 


够 作为 被 请 求 设备 工作 , 即 该 端口 可 以 接收 暂停 帧 。Receive off ,流量 控制 在 所 有 的 方向 均 
不 工作 。 当 拥塞 发 生 时 ,不 向 链 路 伙伴 发 出 指示 ,不 发 送 和 接收 暂停 帧 。 默 认 状 态 为 off。 


Switch(config-if) # flowcontrol{receive) {on|off| desired} 
(4) 返回 特权 配置 模式 。 

Switch(config-if) # end 

(5) 显示 接口 状态 。 

Switch# show interfaces interface-id 

(6) 保存 配置 。 

Switch# copy running-config startup-config 


3. 传输 速率 限制 
网 络 传输 速率 变 低 的 主要 原因 ,往往 是 某 些 用 户 对 网 络 的 滥用 。 当 使 用 MRTG 等 流 


量 监控 软件 检测 到 流量 来 源 于 某 个 端口 时 ,可 以 在 核心 交换 机 、 汇 聚 交换 机 ,甚至 接 人 交换 
机 上 ,对 相应 的 端口 做 必要 的 处 理 , 限 制 其 传输 带宽 ,从 而 限制 每 个 用 户 所 允许 的 最 大 流量 ， 
以 便 使 其 他 网 络 用 户 能 够 恢复 正常 的 网 络 应 用 服务 。 


(1) 进入 全 局 配置 模式 。 
Switch# configure terminal 
(2) 指定 欲 配置 的 接口 。 
Switch(config) # interface interface-id 


(3) 配置 端口 带宽 控制 。 其 中 ,input/output 表明 在 输入 和 输出 方向 应 用 该 带宽 限制 ， 
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通常 情况 下 ,应 当 进 行 双向 限制 。access-group acl-index 用 于 定义 使 用 该 带宽 限制 的 访问 
列表 。bps 用 于 定义 限制 带宽 ,以 bps 为 单位 ,并 采用 8Kbps 的 增 量 。burst-normal 用 于 定 
义 所 允许 的 普通 突 发 速率 ,burst-max 用 于 定义 所 允许 的 最 大 突 发 速率 。conform-action 
conform-action 用 于 指定 在 规定 最 大 带宽 时 所 执行 的 操作 ,通常 为 transmit, 即 允许 发 送 。 
exceed-action exceed-action 则 用 于 指定 在 规定 最 大 带宽 时 所 执行 的 操作 ,通常 为 drop, 即 
丢弃 。 


Switch (config-if) # rate-limit {input | output} [access-group acl -index] bps burst-normal burst-max 
conform-action conform-action exceed-action exceed-action 


(4) 返回 特权 配置 模式 。 
Switch(config-if) # end 

(5) 显示 并 校 验 该 接口 当前 的 配置 。 
Switch# show interface interface-id 

(6) 保存 带宽 限制 配置 。 


Switch# copy running-config startup-config 


例如 , 若 欲 限制 GigabitEthernet4/4 带宽 为 128Kbps, 当 连接 的 普通 突 发 速率 、 最 大 突 
发 在 8K Bytes( 即 64Kbps) 至 9K Bytes( 即 72Kbps) 范 围 内 时 ,所 执行 的 操作 是 transmit( 传 
输 即 发 送 ); 当 超 出 该 范围 时 , 则 相应 的 操作 就 是 drop。 其 中 ,128000 用 于 限制 最 大 带宽 ， 
8000 和 9000 则 用 于 限制 突 发 连接 ,保证 不 因 个 别 用 户 的 大 量 传输 而 使 整个 链 路 性 能 大 幅 
度 下 降 。 限 制 输入 和 输出 速率 后 ,该 端口 配置 如 下 : 


interface GigabitEthernet4/4 

no switchport 

description zhanshiting 

ip address 172.16.100.3 255.255.255.0 

ip access-group 120 in 

ip access-group 120 out 

rate-limit output access-group 102 128000 8000 9000 conform-action transmit exceed-action drop 
rate-limit input access-group 102 128000 8000 9000 conform-action transmit exceed-action drop 


IP 访问 列 表 只 需 设置 应 用 带宽 限制 的 IP 地 址 范围 (192. 168. 0. 0 一 192. 168. 255. 255) 
即 可 ,内 容 如 下 : 


access-list 102 permit ip 192.168.0.0 0.0.255.255 any 


注意 : 在 启用 宽带 限制 之 前 ,必须 先 在 全 局 模式 下 执行 ip cef 命令 ,启用 交换 机 的 快速 
转发 技术 。 

4. 绑 定 IP 和 MAC 地 址 

许多 安全 设置 都 是 基于 IP 的 ,而 用 户 的 IP 地 址 却 可 以 随意 设置 。 因 此 ,还 应 当 同 时 采 
取 另 外 一 种 安全 措施 , 即 在 交换 机 中 将 IP 地 址 与 MAC 地 址 绑 定 在 一 起 。 这 样 ,即使 用 户 
设置 了 IP 地 址 ,也 由 于 MAC 地 址 不 同 而 不 能 获得 相应 的 权限 ,从 而 保证 网 络 的 安全 。 

使 用 下 述 命令 ,可 将 MAC 地 址 与 IP 地 址 绑 定 在 一 起 。 


@@e。 
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(1) 进入 全 局 配置 模式 。 

Switch# configure terminal 

(2) 绑 定 IP 地 址 与 MAC 地 址 。 若 欲 绑 定 若 干 IP 地 址 ,需要 重复 该 操作 。 
Switch(config-if) # arp ip-address mac-address arpa 

(3) 保存 当前 配置 。 


Switch# copy running-config startup-config 


7.3.2 配置 VLAN 安全 


VLAN 的 主要 作用 有 两 点 ,一 是 提高 网 络 安全 性 ,阻止 未 经 授权 的 VLAN 访问 ; 二 是 
提高 网 络 传输 效率 ,将 广播 隔离 在 子 网 之 内 。 因 此 ,VLAN 在 网 络 安 全 性 和 稳定 性 方面 ,都 
起 着 非常 重要 的 作用 。 

1. 划分 VLAN 

创建 VLAN 共 需 要 两 个 步骤 ,先是 创建 VLAN ,然后 ,再 将 相关 接口 指定 至 该 VLAN。 
这 个 过 程 跟 先 划分 若干 部 门 ,然后 ,再 将 人 员 一 一 分 配 至 各 部 门 非常 相似 。 图 7-7 所 示 为 在 
一 台 交 换 机 上 创建 4 个 VLAN ,并 将 相应 的 端口 指定 至 相应 的 VLAN。 


、 “一 =-VLAN30 至 汇聚 层 
1 = 


VLAN 20 一 上 1 ! /一 VLAN 40 
图 7-7 VLAN 划分 
由 于 交换 机 默认 只 创建 了 一 个 管理 VLAN 1, 因 此 ,应 当 根 据 需 要 为 每 个 部 门 都 分 别 创 


建 一 个 VLAN。 每 个 VLAN 都 需要 创建 。 创 建 VLAN 过 程 如 下 。 
(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 


(2) 输入 VLAN ID, 进 入 VLAN 配置 模式 。 以 太 网 VLAN ID 的 取 值 范围 为 1 一 
1001。 其 中 ,VLAN 1 为 系统 默认 VLAN ,不 能 被 创建 ,也 不 能 被 删除 。 


Switch(config) # vlan vlan-id 


(3) (可 选 ) 为 VLAN 命名 。 如 果 不 为 VLAN 命名 ,默认 在 VLAN ID 前 添加 0 作为 
VLAN 名 称 。 例 如 ,VLAN 0080 是 VLAN 80 的 默认 命 称 。 


Switch(config-vlan) # name vlan-name 
(4) 返回 特权 配置 模式 。 


Switch(config-vlan)# end 
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(5) 查看 并 检验 VLAN 配置 。 
Switch# show vlan[id|name] vlan-name 


(6) 保存 VLAN 配置 。 如 果 交 换 机 处 于 VTP 透明 模式 ,VLAN 配置 被 保存 在 运行 配 
置 文件 时 ,也 被 保存 至 VLAN 数据 库 。 这 里 只 是 将 当前 配置 保存 至 启动 配置 。 


Switch# copy running-config startup-config 

2. 将 端口 指定 至 VLAN 

通常 情况 下 ,应 当 将 同一 部 门 的 职员 ,或 者 拥有 相同 的 访问 权限 ,或 者 执行 同一 任务 的 
用 户 ,划分 至 同一 VLAN。 当 然 ,这 里 的 用 户 直接 表现 为 连接 至 菜 个 端口 的 计算 机 。 将 端 
口 指定 至 VLAN 的 过 程 如 下 。 

(1) 进入 配置 模式 。 

Switch# config terminal 

(2) 指定 欲 配置 的 接口 。 

Switch(config) # interface interface-id 

(3) 为 端口 (第 二 层 访问 端口 ) 定 义 VLAN 成 员 模 式 。 

Switch(config-if) # switchport mode access 

(4) 将 接口 添加 至 指定 的 VLAN。 

Switch(config-if) # switchport access vlan vlan-id 

(5) 退出 接口 配置 模式 。 

Switch(config-if) # end 

(6) 显示 并 校 验 该 接口 当前 的 配置 。 

Switch# show interface interface-id 

(7) 保存 VLAN 配置 。 

Switch# copy running-config startup-config 

提示 : 若 欲 将 多 个 端口 指定 至 某 个 VLAN, 必 须 一 一 重复 执行 上 述 命 令 。 或 者 采用 指 
定 端口 组 的 方式 ,一 次 将 多 个 端口 指定 至 同一 VLAN。 

3. 清除 接口 配置 

当 用 户 所 在 的 部 门 发 生变 化 ,或 者 端口 所 连接 的 计算 机 发 生变 化 时 ,可 以 直接 使 用 
switchport access vlan vlan-id 命令 ,将 端口 指定 至 新 的 VLAN。 不 过 ,如 果 需 要 将 接口 配 
置 为 Trunk, 或 者 三 层 接口 时 , 则 需要 先 清除 接口 配置 。 事 实 上 ,只 需 将 指定 接口 恢复 为 默 
认 值 , 即 可 清除 该 接口 的 所 有 配置 。 

(1) 进入 VLAN 配置 模式 。 


Switch# config terminal 
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(2) 清除 某 接口 的 所 有 配置 。 

Switch(config) # default interface interface-id 

(3) 返回 特权 配置 模式 。 

Switch(config) # end 

(4) 保存 对 配置 的 修改 。 

Switch# copy running-config startup-config 

4. 删除 VLAN 

当 某 个 部 门 被 撤销 ,或 者 不 再 需要 某 个 VLAN 时 ,可 以 将 该 VLAN 删除 。 使 用 


no vlan vlan-id 命令 ,可 删除 指定 的 VLAN。 

(1) 进入 全 局 配置 模式 。 

Switch# configure terminal 

(2) 选择 欲 删除 的 VLAN，。 

Switch(config) # vlan vlan-id 

(3) 删除 指定 的 VLAN。 

Switch(config-vlan) # no vlan vlan-id 

(4) 更 新 VLAN 数据 库 ,并 返回 特权 配置 模式 。 

Switch(config-vlan) # end 

(5) 校 验 VLAN 的 改变 。 

Switch(config-vlan) # show vlan brief 

(6) 保存 VLAN 配置 。 

Switch# copy running-config startup-config 

注意 : 删除 VLAN 后 ,所 有 指定 至 VLAN 的 端口 将 不 再 可 用 ,直到 将 其 指定 至 新 
VLAN 时 止 。 

5. 设置 VLAN Trunk 过 滤 

当 在 交换 机 上 划分 有 多 个 VLAN 时 , 若 欲 借助 一 条 链 路 实现 与 其 他 交换 机 的 通信 ,就 
必须 要 创建 Trunk( 如 图 7-8 所 示 )。 默 认 状态 下 ,第 二 层 接口 自动 处 于 动态 的 Switchport 
模式 , 当 相 邻 接口 ( 即 借助 于 双 绞 线 或 光纤 连接 在 一 起 的 两 个 端口 ) 支 持 Trunk ,并 且 配 置 为 
Trunk 或 动态 匹配 模式 ,该 链接 即 可 作为 Trunk 链接 。 默 认 状 态 下 ,Trunk 端口 允许 所 有 
VLAN 的 发 送 和 接口 传输 。 当 然 ,根据 需要 ,也 可 以 拒绝 某 些 VLAN 通过 Trunk 传输 ,从 
而 将 限制 该 VLAN 与 其 他 交换 机 的 通信 ,或 者 拒绝 某 些 VLAN 对 敏感 数据 的 访问 。 

VLAN Trunk 配置 过 程 如 下 。 

(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 
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图 7-8 VLAN Trunk 


(2) 指定 欲 配置 的 接口 。 
Switch(config) # interface interface-id 


(3) 将 接口 配置 为 第 二 层 Trunk。 只 有 接口 是 第 二 层 访问 接口 ,或 者 指定 Trunk 模式 
时 , 才 需 要 使 用 该 命令 。dynamic auto, 如 果 相 邻接 口 被 设置 为 trunk 或 desirable 模式 ,将 
该 接口 置 为 Trunk 连接 。dynamic desirable, 如 果 相 邻接 口 设 置 为 trunk .desirable 或 auto 
模式 ,将 该 接口 置 为 Trunk 连接 。trunk, 将 接口 设置 为 永久 Trunk 模式 ,协商 将 连接 转换 
为 Trunk 连接 ,即使 相 邻 接口 不 是 Trunk 接口 。 


Switch(config-if) # switchport mode{dynamic{auto| desirable} |trunk} 
(4) (可 选 ) 指 定 默认 VLAN, 即 当 Trunk 停止 后 ,将 使 用 哪 一 个 VLAN。 既 可 指定 某 
一 个 VALN ,也 可 以 指定 一 个 VLAN 范围 。 访 问 VLAN 不 能 作为 本 地 VLAN 使 用 。 
Switch(config-if) # switchport access vlan vlan-id 
(5) 为 802.1Q Trunk 指定 本 地 VLAN。 不 指定 本 地 VLAN ,默认 将 使 用 VLAN 1。 
Switch(config-if) # switchport trunk native vlan vlan-id 


(6) 配置 Trunk 上 允许 的 VLAN 列表 。 需 要 注意 的 是 ,不 能 从 Trunk 中 移 除 默认 的 
VLAN 1。 使 用 add( 添 加 ) ,all( 所 有 )、except( 除 外 ) 和 remove( 移 除 ) 关 键 字 ,可 以 定义 允许 
在 Trunk 上 传输 的 VLAN。VLAN 列表 既 可 以 是 一 个 VLAN, 也 可 以 是 一 个 VLAN 组 。 
当 同 时 指定 若干 VLAN 时 ,不 要 在 “,” 或 “-” 间 使 用 空格 。 

Switch(config-if) # switchport trunk allowed vlan{add|all|except|remove)} vlan-list 

若 欲 允许 所 有 VLAN 都 通过 该 Trunk, 可 以 使 用 no switchport trunk allowed vlan 接 
口 配置 命令 。 

(7) 返回 至 特权 配置 模式 。 

Switch(config-if) # end 

(8) 查看 并 校 验 配置 。 


Switch# show interface interface-id switchport 
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Switch# show interfaces interface-id trunk 

(9) 保存 VLAN 配置 。 

Switch# copy running-config startup-config 

若 和 欲 将 接口 恢复 至 默认 值 , 可 以 使 用 default interface interface-id 接口 配置 命令 。 若 欲 
将 Trunk 接口 中 的 所 有 特征 恢复 为 默认 值 ,可 以 使 用 no switchport trunk 接口 配置 命令 。 
若 欲 禁用 Trunk ,可 以 使 用 switchport mode access 接口 配置 命令 ,端口 将 作为 一 个 静态 访 
问 端口 。 


7.3.3 配置 PVLAN 安全 


配置 PVLAN 安全 的 主要 操作 步骤 如 下 。 

(1) 将 VTP 模式 设置 为 透明 模式 , 即 禁用 VTP。 

(2) 创建 辅 VLAN。 

(3) 创建 主 VLAN。 

(4) 为 主 VLAN 与 辅 VLAN 建立 关联 。 一 个 独立 VLAN 可 以 与 一 个 主 VLAN 关联 ， 
多 个 团体 VLAN 可 以 与 主 VLAN 关联 。 

(5) 将 接口 配置 为 独立 或 团体 端口 。 

(6) 将 独立 端口 或 团体 端口 关联 为 主 - 辅 VLAN 对 。 

(7) 将 接口 配置 为 混杂 端口 。 

(8) 将 混杂 端口 映射 为 主 - 辅 VLAN 对 。 

1. 将 VLAN 配置 为 PVLAN 

使 用 以 下 操作 步骤 ,将 VLAN 配置 为 PVLAN。 

(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 
(2) 指定 欲 设置 为 PVLAN 的 VLAN。 
Switch(config) # vlan vlan-ID 


(3) 将 指定 VLAN 设置 为 PVLAN ,并 指定 PVLAN 类 型 。 在 退出 VLAN 配置 模式 
时 ,该 配置 命令 不 会 生效 。 


Switch(config-vlan) # private-vlan{isolated | primary} 
(4) 返回 特权 配置 模式 。 

Switch(config) # end 

(5) 校 验 当 前 设置 。 

Switch# show vlan private-vlan[type] 

(6) 保存 当前 配置 。 


Switch# copy running-config startup-config 
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2. 关联 主 VLAN 与 辅 VLAN 

使 用 以 下 操作 步骤 ,关联 主 VLAN 与 辅 VLAN。 
(1) 进入 全 局 配置 模式 。 

Switch# configure terminal 

(2) 指定 主 VLAN, 进 入 VLAN 配置 模式 。 
Switch(config) # vlan primary-vlan-ID 


(3) 建立 辅 VLAN 与 主 VLAN 的 关联 。 该 列表 只 能 包括 一 个 VLAN。 


Switch(config-vlan) # private-vlan association {secondary -vlan -list| add secondary -vlan -list | remove 
secondary-vlan-list} 


(4) 返回 特权 配置 模式 。 

Switch(config) # end 

(5) 校 验 当前 设置 。 

Switch# show vlan private-vlan[type] 

(6) 保存 当前 配置 。 

Switch# copy running-config startup-config 


当 关 联 辅 VLAN 和 主 VLAN 时 ,需要 注意 以 下 几 点 。 

@ secondary-vlan-list 参数 只 能 包含 一 个 Isolated VLAN ID。 

@ 使 用 remove 关键 字 可 以 清除 辅 VLAN 与 主 VLAN 的 关联 。 该 列表 包括 一 个 
VLAN, 

@ 只 有 退出 VLAN 配置 模式 时 ,输入 的 命令 才 会 生效 。 

3. 配置 PVLAN 混杂 端口 

使 用 以 下 操作 步骤 ,配置 PVLAN 混杂 端口 。 

(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 

(2) 指定 欲 配置 的 二 层 端 口 。 

Switch(config) # interface interface-id 

(3) 将 二 层 接口 配置 为 PVLAN 混杂 端口 。 

Switch(config-if) # switchport mode private-vlan{host| promiscuous|trunk} 
(4) 将 PVLAN 混杂 端口 映射 为 主 VLAN, 并 选择 辅 VLAN。 


Switch(config-if)# switchport private-vlan mapping primary-vlan-id { secondary-vlan-list | add 
secondary-vlan-list|remove secondary-vlan-list} 


(5) 返回 特权 配置 模式 。 
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Switch(config) # end 

(6) 校 验 当 前 设置 。 

Switch# show interfaces interface-id switchport 
(7) 保存 当前 配置 。 

Switch# copy running-config startup-config 


在 将 二 层 接口 配置 为 PVLAN 混杂 端口 时 ,需要 注意 以 下 几 点 。 
O@ secondary-vlan-list 参数 不 能 有 空格 ,也 不 能 包括 由 多 个 “,” 分 隔 开 的 条 目 。 每 个 条 


目 只 能 包括 一 个 PVLAN ID 或 一 个 带 有 “- ”的 PVLAN ID 范围 。 


@ 输入 secondary-vlan-list 或 使 用 add 关键 字 , 将 辅 VLAN 映射 到 PVLAN 混杂 


端口 。 


@ 使 用 remove 关键 字 可 以 清除 辅 VLAN 和 PVLAN 混杂 端口 的 关联 。 
4. 配置 PVLAN Host 端口 

使 用 以 下 操作 步骤 ,配置 PVLAN 主机 端口 。 

(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 

(2) 指定 和 欲 配置 的 二 层 端口 。 

Switch(config) # interface interface-id 

(3) 将 二 层 接口 配置 为 PVLAN 主机 端口 。 

Switch(config-if) # switchport mode private-vlan{host| promiscuous} |trunk 
(4) 将 二 层 接口 关联 至 PVLAN。 

Switch(config-if) # switchport private-vlan host-association primary-vlan-id secondary-vlan-id 
(5) 返回 特权 配置 模式 。 

Switch(config) # end 

(6) 校 验 当 前 设置 。 

Switch# show interfaces interface-id switchport 

(7) 保存 当前 配置 。 

Switch# copy running-config startup-config 


5. 配置 PVLAN Trunk 端口 
使 用 以 下 操作 步骤 ,配置 PVLAN Trunk 端口 。 
(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 


(2) 指定 欲 配置 的 二 层 端 口 。 
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Switch(config) # interface interface-id 

(3) 将 二 层 接口 配置 为 PVLAN Trunk 端口 ,实现 多 个 辅 PVLAN 在 一 条 链 路 上 的 
传输 。 

Switch(config-if) # switchport mode private-vlan{host| promiscuous|trunk} 


(4) 建立 主 VLAN 与 辅 VLAN 的 关联 ,将 PVLAN 端口 作为 一 个 PVLAN。 使 用 该 命 
令 , 可 以 指定 多 个 PVLAN 对 ,从 而 使 PVLAN Trunk 端口 实现 多 个 辅 VLAN 的 传输 。 如 
果 关 联 被 指定 至 一 个 已 有 的 VLAN, 现 有 关联 将 被 替换 。 如 果 没 有 创建 Trunk 关联 , 辅 
VLAN 上 接收 的 任何 包 都 将 被 丢弃 。 


Switch(config-if) # switchport private-vlan association trunk primary-vlan-id secondary-vlan-id 
(5) 在 PVLAN Trunk 端口 配置 普通 VLAN 的 允许 列表 。 


Switch( config-if) # switchport private -vlan trunk allowed vlan vlan -list all | none | [add | remove 
except] vlan-atom[, vlan-atom...] 


(6) 将 VLAN 配置 为 非 标签 包 。 如 果 没 有 本 地 VLAN, 所 有 非 标 签 包 将 被 丢弃 。 如 果 
本 地 VLAN 是 辅 VLAN, 并 且 端 口 没 有 与 辅 VLAN 关联 , 非 标 签 包 也 将 被 丢弃 。 


Switch(config-if) # switchport private-vlan trunk native vlan vlan-id 
(7) 返回 特权 配置 模式 。 

Switch(config) # end 

(8) 校 验 当 前 设置 。 

Switch# show interfaces interface-id 

(9) 保存 当前 配置 。 

Switch# copy running-config startup-config 


6. 将 辅 VLAN 映射 为 主 VLAN 三 层 VLAN 接口 

车 欲 借助 三 层 交换 机 实现 PVLAN 间 的 路 由 ,必须 为 主 VLAN 配置 SVI(Switch 
Virtual Interface, 交 换 机 虚拟 接口 ) ,并且 将 辅 VLAN 映射 至 SVI。 

(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 
(2) 指定 欲 配置 的 Primary VLAN ,进入 接口 配置 模式 。 


Switch(config) # interface vlan primary-vlan-id 


(3) 将 Secondary VLAN 映射 至 三 层 VLAN 接口 .从 而 允许 PVLAN 在 三 层 交 换 机 上 
实现 数据 传输 。 


Switch(config-if) # private-vlan mapping primary-vlan-id{secondary-vlan-list|add secondary -vlan-list 
| remove secondary-vlan-list} 
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(4) 返回 特权 配置 模式 。 

Switch(config) # end 

(5) 校 验 当前 设置 。 

Switch# show interface private-vlan mapping 
(6) 保存 当前 配置 。 


Switch# copy running-config startup-config 


7.3.4 配置 RMON 


1. 默认 的 RMON 配置 

交换 机 RMON 支持 SNMP 的 1.2、3、9 组 内 容 。 

(1) 统计 组 。 统 计 组 (statistics) 是 RMON 中 的 第 1 组 ,统计 组 统计 被 监控 的 每 个 子 网 
的 基本 统计 信息 。 目 前 只 能 对 网 络 设 备 的 以 太 网 接口 进行 监控 和 统计 。 

(2) 历史 组 。 历 史 组 (history) 是 RMON 中 的 第 2 组 ,历史 组 定期 地 收集 统计 网 络 值 的 
记录 并 为 日 后 的 处 理 把 统计 存储 起 来 。 它 包含 两 个 小 组 。 其 中 , HistoryControl 组 用 来 设 
置 采样 间隔 时 间 等 控制 信息 ; EthernetHistory 组 为 管理 员 提 供 有 关 网 段 流 量 、 错 误 包 、 广 
播 包 、 利 用 率 以 及 碰撞 次 数 等 其 他 统计 信息 的 历史 数据 。 

(3) 警报 组 。 警 报 组 (alarm) 是 RMON 中 的 第 3 组 ,以 指定 的 时 间 间 隔 监控 一 个 特定 
的 MIB(Management Information Base) 对 象 , 当 这 个 MIB 对 象 的 值 超过 一 个 设 定 的 上 限 值 
或 低 于 一 个 设 定 的 下 限 值 时 ,会 触发 一 个 警报 。 警 报 被 当 作 事 件 来 处 理 , 处 理事 件 的 方式 可 
以 是 记录 日 志 或 发 送 SNMP Trap( 陷 阱 ) 的 方式 。 

(4) 事件 组 。 事件 组 (event) 是 RMON 中 的 第 9 组 ,决定 当 由 于 警报 而 产生 事件 时 ,处 
理 行 为 是 产生 一 个 日 志 记录 表 项 或 者 一 个 SNMP Trap。 

RMON 在 默认 情况 下 是 禁用 的 ,警告 和 过 滤 都 没有 被 配置 。 在 交换 机 上 只 有 RMON 1 
被 支持 。 

2. 配置 RMON 警报 和 事件 

可 以 使 用 CLI 或 SNMP 网 络 管理 工作 站 配置 交换 机 RMON。 建 议 使 用 NMS( 网 络 管 
理工 作 站 ) 上 的 一 般 的 RMON 管理 工具 来 实现 RMON 的 管理 ,以 便 充 分 利用 RMON 的 网 
络 管理 功能 。 当 然 , 也 必须 在 交换 机 上 配置 SNMP 以 访问 RMON MIB 对象。 

在 特权 EXEC 模式 下 开始 ,启用 RMON 警告 和 过 滤 。 

(1) 进入 全 局 配置 模式 。 


Switch # configure terminal 


(2) 设置 针对 一 个 MIB 对 象 的 报警 功能 。number 用 于 指定 这 个 alarm 表 项 的 索引 , 取 
值 范围 是 1 一 65535。variable 表示 要 监控 的 MIB 的 变量 标识 符 ,该 变量 必须 是 整 型 类 数据 
类 型 。interval 用 于 指定 采样 的 时 间 间 隔 , 单 位 为 秒 , 取 值 范围 为 1 一 2147483647s。 关 键 字 
delta 表示 取样 的 值 , 指 MIB 变量 在 两 次 取样 间 值 的 变化 ; 关键 字 absolute 表示 直接 使 用 
MIB 变量 的 值 作为 取样 值 。value 用 于 指定 警报 触发 的 条 件 , 即 当 MIB 变量 的 值 变化 成 大 
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于 关键 字 rising-threshold 后 面 指定 的 value 值 ( 从 小 于 这 个 值 变 成 大 于 这 个 值 ) ,或 者 变 成 
小 于 关键 字 falling-threshold 后 面 指定 的 value 值 时 即 触发 警报 。value 后 所 跟 的 值 取 值 范 
围 是 一 2147483648 一 2147483647。event-number( 可 选 ) 表 示 报 警 引发 的 事件 产生 时 ,指定 
事件 组 产生 事件 表 项 的 索引 , 若 不 指定 则 不 会 产生 相应 的 事件 。 这 个 值 的 取 值 范围 为 1 一 
65535。string( 可 选 ) 用 于 标识 这 个 报警 表 项 的 拥有 者 。 

Switch(config) # rmon alarm number variable interval{ absolute | deltaj rising-threshold value [event- 

number] falling-threshold value[event-number] [owner string] 

(3) 当 警 报 产生 时 ,增加 相应 的 事件 表 项 并 做 相应 的 处 理 。number 表示 事件 表 项 的 索 
引 , 和 上 面 设置 的 eventnumber 对 应 。 一 个 警报 产生 时 , 若 警 报 指定 的 event-number 对 应 
的 事件 表 项 (number 等 于 event-number) 不 存在 , 则 不 会 产生 对 应 的 事件 。 该 值 的 取 值 范 
围 为 1 一 65535。log( 可 选 ) 输 入 这 个 关键 值 , 则 警报 产生 时 ,会 将 这 个 事件 记录 到 日 志 
trap( 可 选 ) 输 入 这 个 关键 值 , 则 警报 产生 时 ,会 产生 一 个 SNMP Trap。community( 可 选 ) 发 
送 trap 时 使 用 的 认证 名 。description string( 可 选 ) 对 这 个 事件 的 描述 。owner string( 可 
选 ) 标 志 这 个 事件 的 拥有 者 。 


Switch(config) # rmon event number[description string] [log] [owner string] [trap community] 

(4) 返回 特权 EXEC 模式 。 

Switch(config) # end 

(5) 校 验 配置 。 

Switch# show running-config 

(6) 保存 配置 。 

Switch# copy running-config startup-config 

禁用 警告 ,使 用 no rmon alarm number 全 局 配置 命令 ,不 能 立即 禁用 所 有 已 配置 的 警 
。 禁 用 事件 ,使 用 no rmon event number 全 局 配置 命令 。 

3. 创建 历史 表 组 项 

必须 首先 配置 RMON 警告 和 事件 来 显示 收集 的 信息 。 


在 特权 EXEC 模式 下 开始 ,下 面 的 步骤 是 在 接口 上 创建 历史 表 组 项 。 
(1) 进入 全 局 配置 模式 。 


草 


Switch# configure terminal 

(2) 指定 要 收集 历史 表 的 接口 ,并 进入 接口 配置 模式 。 

Switch(config) # interface interface-id 

(3) 创建 历史 表 组 项 。index 用 于 指定 这 个 历史 记录 配置 表 项 的 索引 , 值 的 范围 是 1 一 
65535。owner ownername( 可 选 ) 标 志 这 个 表 项 的 拥有 者 。buckets 表示 每 次 采样 的 数据 将 


被 保存 下 来 ,bucket-number 的 值 指定 了 保存 每 次 采样 数据 的 历史 记录 的 最 大 表 项 个 数 。 
如 果 历 史记 录 已 满 , 则 新 的 采样 数据 将 覆盖 最 老 的 一 次 采样 数据 记录 。 取 值 范围 是 
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1 一 65535 ,默认 值 为 10。interval 指定 采样 的 时 间 间 隔 , 单 位 为 秒 ,范围 为 1 一 3600s, 默 认 
为 1800s。 


Switch(config-if) # rmon collection history index[buckets bucket-number] [interval seconds] [owner 


ownername] 

(4) 返回 特权 EXEC 模式 。 
Switch(config-if) # end 

(5) 校 验 配置 。 

Switch# show running-config 

(6) 显示 交换 机 历史 中 表 的 内 容 。 
Switch(config) # show rmon history 

(7) 保存 配置 。 

Switch# copy running-config startup-config 


禁用 历史 收集 ,使 用 no rmon collection history index 接口 配置 命令 。 

4. 创建 RMON 统计 组 表 项 

可 以 针对 物理 端口 设置 统计 表 项 。 当 设置 了 一 个 端口 的 统计 表 项 后 ,交换 机 将 从 这 时 
开始 各 种 数据 的 统计 。 

在 特权 EXEC 模式 下 ,可 以 通过 以 下 步骤 来 创建 一 个 RMON 统计 组 表 项 。 

(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 
(2) 指定 创建 统计 组 表 项 的 接口 ,并 进入 接口 配置 模式 。 
Switch(config) # interface interface-id 


(3) 创建 RMON 统计 组 表 项 。index 指定 这 个 统计 表 项 的 索引 , 值 的 范围 是 1 一 
65535。owner ownername( 可 选 ) 标 志 这 个 表 项 的 拥有 者 。 


Switch(config-if) # rmon collection stats index[owner ownername] 
(4) 返回 特权 EXEC 模式 。 

Switch(config-if) # end 

(5) 校 验 配 置 。 

Switch# show running-config 

(6) 显示 交换 机 统计 表 的 收集 量 。 

Switch# show rmon statistics 


(7) 保存 配置 。 
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Switch# copy running-config startup-config 


禁用 以 太 网 组 统计 量 的 收集 ,使 用 no rmon collection stats index 接口 配置 命令 。 
5. 显示 RMON 的 状态 

使 用 下 述 命令 ,可 以 显示 RMON 的 状态 。 

(1) show rmon: 显示 全 部 的 RMON 统计 。 

(2) show rmon alarms: 显示 RMON 警告 表 。 

(3) show rmon events: 显示 RMON 事件 表 。 

(4) show rmon history: 显示 RMON 历史 表 。 

(5) show rmon statistics: 显示 RMON 统计 表 。 


7.3.5 知识 链接 : 交换 机 IOS 安全 配置 


1. VLAN 

VLAN(Virtual Local Area Network ,虚拟 局 域 网 ) 用 于 将 端口 指定 至 不 同 的 子 网 ,从 
而 隔离 彼此 之 间 的 广播 和 直接 通信 ,提高 网 络 传输 效率 和 安全 性 。Trunk 则 用 于 借助 一 个 
接口 实现 不 同 交换 机 之 间 多 VLAN 的 传输 。 在 局 域 网 络 中 使 用 VLAN 技术 ,具有 以 下 重 
要 意义 和 作用 。 

(1) 降低 移动 和 变更 的 管理 成 本 。VLAN 中 的 成 员 与 其 物理 位 置 无 关 , 既 可 连接 至 同 
一 台 交 换 机 ,也 可 连接 至 不 同 交换 机 。 当 需要 把 一 台 计 算 机 从 一 个 子 网 转移 到 另 一 个 子 网 ， 
迁移 工作 将 只 是 由 网 络 管理 员 在 用 作 网 络 管理 的 计算 机 上 重新 定义 VLAN 成 员 。 

(2) 控制 广播 。 由 于 所 有 的 广播 都 只 在 本 VLAN 内 进行 ,而 不 再 扩散 到 其 他 VLAN 
上 ,所 以 将 大 大 减少 广播 对 网 络 带 宽 的 占用 ,提高 带宽 传输 效率 ,并 可 有 效 地 避免 广播 风暴 
的 产生 。 

(3) 增强 安全 性 。VLAN 的 一 个 重要 好 处 就 是 提高 了 网 络 安全 性 。 由 于 交换 机 只 能 在 
同一 VLAN 内 的 端口 之 间 交 换 数据 ,不 同 VLAN 的 端口 不 能 直接 相互 访问 。 因 此 ,通过 划 
分 VLAN ,就 可 以 在 物理 上 防止 某 些 非 授权 用 户 访问 敏感 数据 。 

(4) 网 络 监督 和 管理 的 自动 化 。 由 于 网 络 管理 员 可 以 通过 网 管 软件 , 查 到 VLAN 间 和 
VLAN 内 通信 的 数据 报 的 细 目 分 类 信息 ,以 及 应 用 数据 报 的 细 目 分 类 信息 ,而 这 些 信息 对 
于 确定 路 由 系统 ,和 经 常 遭 到 访问 的 服务 器 的 最 佳 配置 十 分 有 用 。 通 过 划分 VLAN ,可 以 
使 网 络 管理 变 得 更 简单 .更 轻松 、 更 有 效 。 

2. PVLAN 

与 VLAN 不 同 ,PVLAN 不 仅 与 VLAN 之 间隔 离 ,而 且 PVLAN 内 的 端口 之 间 也 相互 
隔离 , 仅 可 通过 上 联 端 口 访问 网 络 。 若 用 户 希 望 端口 之 间 通 信 ,必须 借助 三 层 交 换 机 或 路 由 
器 进行 路 由 转发 。PVLAN 技术 在 解决 通信 和 安全、 防止 广播 风暴 和 浪费 IP 地 址 方面 的 优势 
是 显而易见 的 ,而且 采 用 PVLAN 技术 有 助 于 网 络 的 优化 。 另 外 .PVLAN 的 配置 也 相对 简 
单 ,不必 占 用 VLAN 资源 。 

3. RMON 

RMON(Remote Monitor) 远 程 监控 是 一 个 标准 监控 规范 , 它 可 以 使 各 种 网 络 监控 器 和 
控制 台 系 统 之 间 交 换 网 络 监控 数据 。 它 为 网 络 管理 员 选 择 符合 指定 网 络 需求 的 控制 台 和 网 
络 监控 探测 器 提供 了 更 多 的 自由 。 
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7.4 路 由 器 IOS 安全 配置 


路 由 器 主要 用 于 处 理 局 域 网 与 Internet, 内 部 不 同 网 络 之 间 的 信息 传输 ,主要 用 于 提供 
路 径 选 择 。 由 于 路 由 器 的 硬件 配置 比较 低 ,通常 只 配置 必要 的 路 由 信息 和 基本 的 安全 配置 ， 
如 访问 控制 列表 、NAT、NetFlow 等 。Cisco 路 由 器 使 用 与 Cisco 交换 机 相同 的 Cisco IOS， 
因此 ,应 用 于 交换 机 的 许多 功能 和 配置 命令 (如 访问 列表 等 ) ,也 同样 适用 于 路 由 器 。 


7.4.1 配置 访问 列表 


通常 情况 下 ,管理 员 可 以 按照 如 下 步骤 配置 访问 列表 。 

OO 分 析 需 求 , 搞 清楚 需要 保护 什么 或 控制 什么 ; 为 方便 配置 ,推荐 以 表格 形式 列 出 。 
@ 分 析 符 合 条 件 的 数据 流 的 路 径 ,寻找 一 个 最 适合 进行 控制 的 位 置 。 

@ 编写 ACL, 并 将 ACL 应 用 到 接口 上 。 

@ 测试 并 修改 ACL。 

1. IP 访问 列表 

(1) 创建 标准 访问 列表 

Q@ 进入 全 局 配置 模 。 


Router# configure terminal 
@ 使 用 源 地 址 或 通配符 定义 标准 IP 访问 列表 。 
Router(config) # access-list access-listnumber{deny| permit})source[source-wildcard] 


。 access-list-number: ACL 号 。ACL 号 相同 的 所 有 ACL 形成 一 个 组 。 在 判断 一 个 
包 时 ,使 用 同一 组 中 的 条 目 从 上 到 下 逐一 进行 判断 ,一 旦 遇 到 满足 条 件 的 条 目 就 终 
止 对 该 包 的 判断 。1 一 99 或 1300 一 1999 为 标准 的 IP ACL 号 。 
deny|permit: 当 条 件 匹 配 时 ,是 允许 包 通过 ,还 是 将 包 技 弃 。 
source: 源 地 址 。 发 送 包 的 网 络 或 主机 地 址 ,使 用 点 分 十 进 制 表示 。 当 表示 一 组 主 
机 时 ,使 用 通配符 屏蔽 码 。 
source-wildcard: 通配符 屏蔽 码 。Cisco 访问 列表 所 支持 的 通配符 屏蔽 码 与 子 网 掩 
码 的 方式 是 相反 的 。 也 就 是 说 ,二 进 制 “0” 表 示 一 个 匹配 条 件 ,“1” 表 示 一 个 不 关心 
条 件 。 

any 表示 任何 主机 , 即 源 地 址 和 源 通配符 屏蔽 码 0.0.0.0 255. 255. 255. 255 的 缩写 。 例 
如 , 若 要 拒绝 从 源 地 址 192. 168. 1. 100 发 出 的 报 文 , 但 允许 发 自 其 他 源 地 址 的 报 文 ,应 当 使 
用 下 述 语 句 : 


Access-list 1 deny host 192.168.1.100 
Access-list 1 permit any 


需要 注意 这 两 条 语句 的 顺序 。 访 问 列表 语句 的 处 理 是 由 上 至 下 的 。 如 果 将 两 个 语句 顺 


序 颠 倒 , 将 permit 语句 放 在 deny 语句 前 面 , 则 不 能 过 滤 来 自主 机 的 报 文 , 因 为 permit 语句 
将 允许 所 有 报 文通 过 。 访 问 列表 中 的 语句 顺序 非常 重要 ,不 合理 的 语句 顺序 将 会 在 网 络 中 
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产生 安全 漏洞 或 者 使 得 用 户 不 能 很 好 地 利用 公司 的 网 络 策略 。 

host 表示 一 台 主 机 ,是 源 和 源 通配符 0. 0. 0. 0 的 缩写 。 例 如 , 若 要 允许 从 192. 168. 1. 
200 发 出 的 报 文 , 则 应 当 使 用 下 述 语句 : 

Access-list 1 permit 192.168.1.200 0.0.0.0 

上 述 语句 也 可 以 使 用 下 面 的 语句 代替 : 

Access-list 1 permit host 192.168.1.200 

@ 返回 特权 配置 模式 。 

Router(config) # end 

@ 校 验 当 前 设置 。 

Router# show access-lists number 

@ 保存 当前 配置 。 

Router# copy running-config startup-config 

使 用 no access-list access-list-number 全 局 配置 命令 ,可 以 删除 全 部 访问 列表 。 需 要 注 
意 的 是 ,不 能 从 指定 的 访问 列表 中 删除 某 个 ACE。 

(2) 创建 扩展 访问 控制 列表 

标准 IP 访问 控制 列表 只 能 控制 源 IP 地 址 ,不 能 控制 到 端口 。 若 要 控制 企业 用 户 的 网 


络 应 用 ,就 需要 使 用 扩展 IP 访问 控制 列表 。 
Q@ 进入 全 局 配置 模式 。 


Router# configure terminal 
@ 定义 扩展 IP 访问 控制 列表 , 取 值 范围 为 100 一 199 或 2000 一 2699。 


Router (config ) # access-list access-list-number { deny | permit} protocol source source-wildcard 
[operator port] destination destination-wildcard [operator port] 


access-list access-list-number{ deny | permit} protocol any[operator port]any [operator port] 


access-list access-list-number { deny | permit} protocol host source [operator port] host destination 

[operator port] 

protocol 要 过 滤 的 协议 ,例如 IP、TCP、UDP 和 ICMP 等 。 默 认 过 滤 所 有 协议 , 若 要 根 
据 特殊 协议 进行 报 文 过 滤 , 需 指定 协议 。 

destination destination-wildcard 为 目的 地 址 和 通配符 屏蔽 码 。 

operator 端口 操作 符 ,在 协议 类 型 为 TCP 或 UDP 时 支持 端口 比较 ,支持 的 比较 操作 
有 : 等 于 (eq)\ 大 于 (gt)、 小 于 (ltb) 不 等 于 (neq) 或 介 于 (range) 。 如 果 操 作 符 为 range, 则 后 
面 需要 跟 两 个 端口 。 
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port 端口 号 ,可 以 用 几 种 不 同方 法 指定 。 可 以 显 式 地 指定 数字 或 使 用 一 个 可 识别 的 助 

记 符 。 例 如 ,可 以 使 用 80 或 HTTP 指定 超 文 本 传输 协议 ,使 用 21 或 FTP 指定 文件 传输 协 


议 。 例 如 ,车 要 允许 来 自任 何 地 址 的 包含 有 SMTP 数据 的 报 文 到 达 192. 168. 10. 10 主机 ， 
可 以 在 访问 列表 中 添加 下 述 语句 : 


Access-list 101 permit tcp any host 192.168.10.10 eq smtp 
@ 返回 特权 配置 模式 。 

Router(config) # end 

@ 校 验 当前 设置 。 

Router# show access-lists number 

@ 保存 当前 配置 。 

Router# copy running-config startup-config 


(3) 将 IP 访问 列表 应 用 到 接口 
如 果 不 将 IP 访问 列表 应 用 到 接口 ,那么 ,该 访问 列表 将 不 会 发 生 作 用 。 
Q@ 进入 全 局 配置 模式 。 


Router# configure terminal 

@ 指定 要 应 用 该 IP 访问 列表 的 接口 。 该 接口 既 可 以 是 二 层 接 口 (端口 访问 列表 ) ,也 
可 以 是 三 层 接口 (路 由 访问 列表 )。 

Router(config) # interface interface-id 

@ 将 访问 控制 应 用 到 指定 的 接口 。 二 层 接 口 (端口 访问 列表 ) 不 支持 out 关键 字 。 

Router(config-if) # ip access-group{access-list-number|name) {in|out} 

@ 返回 特权 配置 模式 。 

Router(config-if) # end 

加 校 验 当 前 设置 。 

Router# show running-config 

保存 当前 配置 。 

Router# copy running-config startup-config 


2. VLAN 访问 列表 

VLAN 映射 是 控制 过 滤 VLAN 内 流量 的 唯一 手段 。VLAN 映射 没有 方向 。 若 欲 利用 
VLAN 映射 过 滤 特 定 方向 上 的 流量 ,必须 在 ACL 中 配置 指定 的 源 或 目的 地 址 。 与 路 由 器 
ACL 不 同 ,VLAN 映射 的 默认 操作 是 允许 转发 。 如 果 包 在 映射 中 没有 找到 与 之 相 匹配 的 
条 目 , 则 将 其 转发 出 去 。 

创建 一 个 VLAN 映射 ,并 将 其 配置 至 一 个 或 多 个 VLAN 的 步骤 如 下 。 
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@ 创建 将 要 应 用 到 VLAN 的 标准 IP 访问 控制 列表 或 扩展 IP 访问 控制 列表 ,或 命令 
MAC 扩展 访问 控制 列表 。 

@ 输入 全 局 配置 命令 vlan access-map, 创 建 VLAN ACL 映射 条 目 。 

@ 在 访问 映射 配置 模式 下 ,选择 输入 一 种 操作 方式 ,可 以 是 丢弃 或 转发 ,并 输入 match 
命令 在 一 个 或 多 个 列表 中 匹配 。 

@ 使 用 全 局 配置 命令 vlan filter, 将 VLAN 映射 配置 到 一 个 或 多 个 VLAN 上 。 

注意 ; VLAN 映射 列表 最 后 默认 的 操作 是 允许 转发 。 也 就 是 说 ,如 果 包 在 映射 中 没有 
找到 与 之 相 匹配 的 任何 条 目 , 则 将 其 转发 。 

(1) 创建 VLAN 访问 列表 

借助 以 下 操作 ,可 以 创建 VLAN 访问 列表 。 

Q@ 进入 全 局 配置 模式 。 


Router # configure terminal 


@ 创建 VLAN 映射 ,并 给 该 VLAN 访问 列表 定义 一 个 名 称 和 序号 (可 选 ), 进 入 
VLAN 访问 列表 配置 模式 。 当 创建 相同 名 称 的 VLAN 映射 时 ,会 随 之 创建 相应 的 序号 ,号 
码 以 10 为 级 差 递 增 。 若 欲 修改 或 删除 映射 ,直接 输入 映射 条 目的 序号 即 可 。 


Router(config) # vlan access-map name[number] 
@ 为 VLAN 映射 设置 动作 ,默认 为 转发 (forward) 。 
Router(config-access-map) # action{drop|forward} 


@ 借助 一 个 或 多 个 标准 了 访问 控制 列表 或 扩展 IP 访问 控制 列表 匹配 包 ( 使 用 IP 或 
MAC 地 址 ) 。IP 包 只 能 被 标准 IP 访问 控制 列表 或 扩展 IP 访问 控制 列表 匹配 ; 非 IP 包 只 
能 被 MAC 扩展 IP 访问 控制 列表 匹配 。 


Router(config-access-map) # match{ip|mac}address{name|number} [name| number] 
加 返回 特权 配置 模式 。 

Router(Cconfig-if) # end 

@ 校 验 当前 设置 。 

Router# show running-config 

@ 保存 当前 配置 。 

Router# copy running-config startup-config 


如 下 所 示 为 创建 ACL 及 VLAN 映射 以 拒绝 转发 TCP 流量 。 先 创建 IP ACL 以 允许 
所 有 的 TCP 包 , 然 后 ,设置 匹配 该 表 项 的 包 操 作为 丢弃 。 


Router(config) # ip access-list extended ipl 
Router(config-ext-nacl)# permit tcp any any 
Router(config-ext-nacl) # exit 

Router(config) # vlan access-map map_1 10 
Router(config-access-map)# match ip address udp 
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Router(config-access-map) # action drop 
如 下 所 示 为 创建 允许 UDP 包 通 过 的 VLAN 映射 。 


Router(Cconfig) # ip access-list extended ip2 
Router(config-ext-nacl)# permit udp any any 
Router(config-ext-nacl) 井 exit 

Router(config) # vlan access-map map_1 20 
Router(config-access-map)# match ip address udp2 
Router(config-access-map) # action forward 


如 下 所 示 为 非 UDP 包 全 部 被 丢弃 的 VLAN 映射 。 


Router(config) # vlan access-map map_1 30 
Router(config-access-map) # action drop 

(2) 将 VLAN 访问 列表 应 用 到 VLAN 

借助 以 下 操作 ,可 以 将 VLAN 访问 列表 应 用 到 VLAN。 
@ 进入 全 局 配置 模式 。 


Router# configure terminal 


@ 将 VLAN 映射 应 用 至 一 个 或 多 个 VLAN。 可 以 使 用 “-” 或 “, "指定 若干 VLAN。 需 
要 注意 的 是 ,“-" 或 ”前 后 必须 输入 空格 。 


Router(config) # vlan filter mapname vlan-list list 
@ 校 验 当前 设置 。 

Router# show running-config 

@ 保存 当前 配置 。 


Router# copy running-config startup-config 


7.4.2 配置 NAT 


NAT 被 广泛 应 用 于 各 种 类 型 的 Internet 接 人 方式 和 各 种 类 型 的 网 络 。 原 因 是 NAT 
不 仅 完美 地 解决 全 地 址 不 足 的 问题 ,而 且 还 能 有 效 地 避免 来 自 网 络 外 部 的 攻击 ,隐藏 并 保护 
网 络 内 部 的 计算 机 。 配 置 NAT 时 应 注意 区 分 内 部 接口 和 外 部 接口 ,通常 情况 下 ,连接 到 企业 
网 络 的 接口 是 NAT 内 部 接口 ,而 连接 到 外 部 网 络 ( 如 Internet) 的 接口 是 NAT 外 部 接口 。 

1. 静态 地 址 转换 

所 谓 静 态 地 址 转换 ,是 指 将 合法 IP 地 址 一 一 对 应 地 转换 为 内 部 私有 IP 地 址 。 如 果 企 
业 网 络 获得 多 个 合法 IP 地 址 ,可 以 借助 静态 地 址 转换 方式 ,将 合法 IP 地 址 转换 为 内 部 服务 
器 的 IP 地 址 ,从 而 实现 对 企业 网 络 和 Internet 对 服务 器 的 访问 。 

内 部 网 络 使 用 的 人 PP 地 址 段 为 192. 168. 100. 1 一 192. 168. 100. 254, 路 由 器 局 域 网 端口 ( 即 
默认 网 关 ) 的 了 P 地 址 为 192. 168. 100. 1 , 子 网 掩 码 为 255. 255. 255. 0。 网 络 分 配 的 合法 了 P 地 
址 范围 为 121. 17. 46. 128 一 121. 17. 46. 135 ,路 由 器 广域网 中 的 IP 地 址 为 121. 17. 46. 129， 
子 网 掩 码 为 255. 255. 255. 248, 可 用 于 转换 的 IP 地 址 为 121. 17. 46. 133。 要 求 将 内 部 网 址 
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192. 168. 100. 2 一 192. 168. 100. 6 分 别 转换 为 合法 全 地 址 121. 17. 46. 130 一 121. 17. 46. 134。 
(1) 设置 外 部 端口 。 
interface serial 0/0 


ip address 121.17.46.133 255.255.255.248 
ip nat outside 


(2) 设置 内 部 端口 。 


interface fastethernet 0/0 
ip address 192.168.100.1 255.255.255.0 
ip nat inside 


(3) 在 内 部 本 地 地 址 与 内 部 合法 地 址 之 间 建 立 静 态 地 址 转换 。 
ip nat inside source static 内 部 本 地 地 址 , 即 内 部 合法 地 址 
示例 : 


ip nat inside source static 192.168.100.2 121.17.46.130 

!-- 将 内 部 网 络 地 址 192.168.100.2 转换 为 合法 IP 地 址 121.17.46.130 

ip nat inside source static 192.168.100.3 121.17.46.131 

!-- 将 内 部 网 络 地 址 192.168.100.3 转换 为 合法 IP 地 址 121.17.46.131 

ip nat inside source static 192.168.100.4 121.17.46.132 

!-- 将 内 部 网 络 地 址 192.168.100.4 转换 为 合法 IP 地 址 121.17.46.132 

ip nat inside source static 192.168.100.5 121.17.46.133 

!-- 将 内 部 网 络 地 址 192.168.100.5 转换 为 合法 IP 地 址 121.17.46.133 

ip nat inside source static 192.168.100.6 121.17.46.134 

!-- 将 内 部 网 络 地 址 192.168.100.6 转换 为 合法 IP 地 址 121.17.46.134 

至 此 ,静态 地 址 转换 配置 完毕 。 

2. 动态 地 址 转换 

所 谓 动态 地 址 转换 ,是 指 将 内 部 私有 IP 地 址 动态 地 转换 为 合法 IP 地 址 池内 的 IP 地 
址 ,对 应 关系 是 不 国定 的 。 如 果 企 业 网 络 获得 多 个 合法 IP 地 址 ,可 以 借助 动态 地 址 转换 方 
式 , 实 现 Internet 连接 共享 。 

内 部 网 络 使 用 的 IP 地 址 段 为 172. 16. 100. 1 一 172. 16.100. 254, 路 由 器 局 域 网 端口 ( 即 
默认 网 关 ) 的 IP 地 址 为 172. 16. 100.1, 子 网 拖 码 为 255.255.255.0。 网 络 分 配 的 合法 全 地址 
范围 为 121. 17. 46. 128 一 121. 17. 46. 191 ,路 由 器 广域网 中 的 IP 地 址 为 121. 17. 46. 129 , 子 网 掩 
码 为 255. 255. 255. 192, 可 用 于 转换 的 人 PP 地 址 范围 为 121. 17. 46. 130 一 121. 17. 46. 190。 要 求 
将 内 部 网 址 172. 16. 100. 1 一 172. 16. 100. 254 动态 转换 为 合法 IP 地 址 121. 17. 46. 130 一 
121. 17. 46. 190 。 

(1) 设置 外 部 端口 。 

设置 外 部 端口 命令 的 语法 如 下 : 


ip nat outside 
示例 : 


interface serial 0/0 


@。。 
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!-- 进 入 串 行 端口 serial 0/0 

ip address 121.17.46.129 255.255.255.248 

!-- 将 其 IP 地 址 指定 为 121.17.46.129, 子 网 掩 码 为 255.255.255.248 
ip nat outside 

!-- 将 串 行 口 serial 0/0 设置 为 外 网 端口 

需要 注意 的 是 ,可 以 定义 多 个 外 部 端口 。 

(2) 设置 内 部 端口 。 

设置 内 部 接口 命令 的 语法 如 下 : 


ip nat inside 
示例 : 


interface fastethernet 0/0 

!-- 进 入 快速 以 太 网 端口 FastEthernet 0/0 

ip address 172.16.100.1 255.255.255.0 

!-- 将 其 IP 地 址 指定 为 172.16.100.1, 子 网 掩 码 为 255.255.255.0 
ip nat inside 

!-- 将 FastEthernet 0/0 设置 为 内 网 端口 

需要 注意 的 是 ,可 以 定义 多 个 内 部 端口 。 

(3) 定义 合法 IP 地 址 池 。 

定义 合法 IP 地 址 池 命 令 的 语法 如 下 : 


ip nat pool 地 址 池 名 称 起 始 IP 地 址 终止 IP 地 址 子 网 掩 码 


其 中 ,地 址 池 名 字 可 以 任意 设 定 。 
示例 : 
ip nat pool chinanet 121.17.46.130 121.17.46.190 netmask 255.255.255.192 
!-- 指 定 地 址 缓冲 池 的 名 称 为 chinanet, IP 地 址 范围 为 121.17.46.130 一 121.17.46.190 
!-- 子 网 掩 码 为 255.255.255.192. 需 要 注意 的 是 ,即使 掩 码 为 255.255.255.0 
!-- 也 会 由 起 始 IP 地 址 和 终止 IP 地 址 对 IP 地 址 池 进 行 限制 。 
!-- 或 ip nat pool test 121.17.46.130 121.17.46.190 prefix-length 26 
(4) 定义 内 部 网 络 中 允许 访问 Internet 的 访问 列表 。 
定义 内 部 访问 列表 命令 的 语法 如 下 : 


access-list 标号 permit 源 地 址 通配符 
其 中 ,标号 为 1 一 99 之 间 的 整数 。 


access-list 1 permit 172.16.100.0 0.0.0.255 
!-- 允 许 访问 Internet 的 网 段 为 172.16.100.0~172.16.100.255, 主 机 掩 码 为 0.0.0.255。 
需要 注意 的 是 ,在 这 里 采用 的 是 主机 掩 码 ,而 非 子 网 掩 码 。 子 网 掩 码 与 主机 掩 码 的 关系 
为 : 主机 掩 码 十 子 网 掩 码 二 255. 255. 255. 255。 例 如 , 子 网 掩 码 为 255. 255. 0.0, 则 主机 掩 码 
为 0.0.255. 255; 子 网 掩 码 为 255. 0. 0.0, 则 主机 掩 码 为 0. 255. 255. 255; 子 网 掩 码 为 
255.252. 0.0, 则 主机 掩 码 为 0. 3. 255. 255; 子 网 掩 码 为 255. 255. 255. 192, 则 主机 掩 码 为 
0. 0.0.63。 
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另外 ,如 果 想 将 多 个 IP 地 址 段 转换 为 合法 IP 地 址 ,可 以 添加 多 个 访问 列表 。 例 如 , 当 
和 欲 将 172. 16. 98. 0 一 172. 16. 98. 255 和 172. 16. 99. 0 一 172. 16. 99. 255 转换 为 合法 IP 地 址 
时 ,应 当 添 加 下 述 命令 : 

access-list 2 permit 172.16.98.0 0.0.0.255 

access-list 2 permit 172.16.99.0 0.0.0.255 

(5) 实现 网 络 地 址 转换 。 

在 全 局 设置 模式 下 ,将 由 access-list 指定 的 内 部 本 地 地 址 与 指定 的 内 部 合法 地 址 池 进 
行 地 址 转换 。 命 令 语法 如 下 ， 

ip nat inside source list 访问 列表 标号 pool 内 部 合法 地 址 池 名 字 

示例 : 

ip nat inside source list 1 pool chinanet 


如 果 有 多 个 内 部 访问 列表 ,可 以 一 一 添加 ,以 实现 网 络 地 址 转换 ,如 : 


ip nat inside source list 2 pool chinanet 
ip nat inside source list 2 pool chinanet 


至 此 ,动态 地 址 转换 设置 完毕 。 

3. 端口 复 用 地 址 转换 

所 谓 端口 复 用 地 址 转换 ,是 指 将 通过 复 用 TCP 端口 的 方式 ,使 用 一 个 合法 IP 地 址 实现 
Internet 连接 共享 。 如 果 企 业 网 络 只 获得 一 个 合法 的 IP 地 址 , 则 应 当 采 用 端口 复 用 地 址 转 
换 方式 。 

内 部 网 络 使 用 的 IP 地 址 段 为 10. 100. 100. 1 一 10. 100. 100. 254, 路 由 器 局 域 网 端口 ( 即 
默认 网 关 ) 的 IP 地 址 为 10. 100. 100. 1, 子 网 掩 码 为 255. 255. 255. 0。 路 由 器 广域网 中 的 IP 
地 址 为 202. 99. 160. 1 , 子 网 掩 码 为 255. 255. 255. 248。 要 求 将 内 部 网 址 10. 100. 100. 1 一 
10. 100. 100. 254 转换 为 合法 IP 地 址 。 

(1) 进入 全 局 配置 模式 。 


Router# configure terminal 
(2) 设置 外 部 端口 。 


Router(config) # interface serial 0/0 
Router(config-if)# ip address 202.99.160.1 255.255.255.252 
Router(Cconfig-if) # ip nat outside 


(3) 返回 全 局 配置 模式 。 
Router(config-if) # exit 
(4) 设置 内 部 快速 以 太 网 端口 。 


Router(config) # interface fastethernet 0/0 
Router(config-if)# ip address 1.100.100.1 255.255.255.0 
Router(config-if)# ip nat inside 
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(5) 返回 全 局 配置 模式 。 
Router(Cconfig-if) # exit 


(6) 设置 复 用 动态 地 址 转换 , 复 用 广 域 口 合法 IP 地 址 。 


Router(config) # ip nat inside source list 120 interface Serial0/0 overload 


!-- 指 明 复 用 串 行 口 的 合法 IP 地 址 ,访问 列表 为 120 
(7) 定义 内 部 访问 列表 。 


Router(config) # access-list 120 permit ip 10.100.100.1.0 0.0.0.255 any 
!-- 定 义 120 访问 列表 , 允许 访问 Internet 的 网 段 为 10.100.100.0 一 10.100.100.255 
!-- 子 网 掩 码 为 255.255.255.0, 主机 掩 码 为 0.0.0.255 


在 全 局 设置 模式 下 ,设置 在 内 部 的 本 地 地 址 与 内 部 合法 IP 地 址 间 建 立 复 用 动态 地 址 转 


。 命 令 语法 如 下 : 


ip nat inside source list 访问 列表 标号 pool 内 部 合法 地 址 池 名 字 overload 
示例 : 


ip nat inside source list 1 pool public overload 


!-- 以 端口 复 用 方式 ,将 访问 列表 1 中 的 私有 IP 地 址 转换 为 public IP 地 址 池 中 定义 的 合法 IP 地 址 。 
(8) 返回 Enable 模式 。 

Router(config) # end 

(9) 保存 配置 。 

Router# running-config startup-config 

至 此 ,端口 复 用 动态 地 址 转换 完成 。 

7.4.3 配置 NetFlow 

NetFlow 工作 过 程 中 使 用 路 由 器 的 时 间 来 标记 流 数据 ,所 以 路 由 器 上 的 时 间 准 确 与 否 


非常 重要 。NetFlow 可 以 自动 处 理 不 同时 区 的 路 由 器 。 当 NetFlow 服务 器 的 时 间 和 路 由 
器 的 时 间 存 在 10min 以 上 的 误差 时 ,将 在 主页 上 显示 警告 图 标 。 此 时 NetFlow 分 析 仪 将 使 
用 NetFlow 分 析 仪 服务 器 本 身 的 时 间 来 标记 流 。 在 路 由 器 上 输出 NetFlow 数据 前 ,首先 需 
要 启用 NetFlow 输出 ,然后 设置 NetFlow 数据 目的 输出 地 址 。 


启用 NetFlow 输出 的 配置 如 下 。 
(1) 进入 接口 配置 模式 。 


Router(config) # interface{interface} {interface_number} 
(2) 启用 NetFlow 输出 。 


Router(config-if) # ip route-cache flow 


(3) 设置 带宽 信息 参数 (可 选 ) 。 
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Router(config-if)# bandwidth <Kbps> 
(4) 退出 接口 配置 模式 。 
Router(config-if) # exit 


设置 输出 NetFlow 数据 到 NetFlow 分 析 仪 所 运行 的 服务 器 上 的 操作 如 下 。 
(1) 输出 NetFlow 缓存 条 目 到 指定 的 IP 地址 ,使 用 NetFlow 分 析 仪 服务 器 的 IP 地 址 
以 及 在 配置 NetFlow 监听 端口 中 所 配置 的 端口 ,NetFlow Analyzer 默认 使 用 端口 为 9996 。 


Router(config) # ip flow-export destination{hostname|ip_address}9996 

(2) 设置 输出 到 指定 IP 地 址 的 NetFlow 输出 中 的 源 IP 地 址 。NetFlow 分 析 仪 将 在 此 
设备 上 执行 SNMP 请 求 。 

Router(config) # ip flow-export source{interface) {interface_number)} 


(3) 设置 NetFlow 输出 的 版 本 为 版 本 5。NetFlow 分 析 仪 只 支持 版 本 5 和 7。 如 果 路 
由 器 使 用 BGP, 则 可 以 指定 是 否 在 输出 包含 源 或 者 对 方 不 可 能 包含 两 者 。 


Router(config) # ip flow-export version 5[peer-as|origin-as] 


(4) 分 割 活动 期 长 的 流 为 lmin 的 片段 。 可 以 选择 1 一 60min。 如 果 使 用 默认 的 30min， 
则 流量 报告 可 能 会 产生 许多 尖峰 。 这 里 为 了 生成 警告 和 显示 故障 排除 数据 设 定 该 值 
为 1min。 


Router(config) # ip flow-cache timeout active 1 

(5) 保证 定期 输出 完成 的 流 。 默 认 值 为 15s, 可 以 选择 10 一 600s。 如 果 选 择 的 值 大 于 
250s,NetFlow 分 析 仪 将 报告 流量 值 太 低 的 错误 信息 。 

Router(config) # ip flow-cache timeout inactive 15 

(6) 全 局 启用 ifIndex 持续 化 。 这 将 保证 ifIndex 值 在 设备 重启 后 也 有 效 。 

Router(config) # snmp-server ifindex persist 

(7) 返回 配置 模式 。 

Router(config) # end 

(8) 查看 NetFlow 的 配置 。 

Router# show ip flow export 

这 里 以 在 路 由 器 上 执行 的 命令 集 为 例 进行 介绍 ,设置 接口 GigabitEthernet 0/1 输出 
NetFlow 版 本 5 到 211. 82. 218. 243 的 9996 端口 。 


2821lccme# enable 

Password: 

282lccme# configure terminal 

2821ccme(config) # interface GigabitEthernet 0/1 
2821ccme(config-if) # ip route-cache flow 
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2821ccme(config-if) # exit 

2821lccme(config) # ip flow-export destination 211.82.218.243 9996 
282lccme(config) # ip flow-export source GigabitEthernet 0/1 
2821ccme(config) # ip flow-export version 5 

2821lccme(config) # ip flow-cache timeout active 1 

2821lccme(config) # ip flow-cache timeout inactive 15 
2821ccme(config) # snmp-server ifindex persist 

2821lccme(config) # end 

2821lcceme# copy running-config startup-config 

2821ccme# show ip flow export 


7.4.4 知识 链接 : 路 由 器 IOS 安全 配置 


1. ACL 

ACL(Access Control List ,访问 控制 列表 ) 是 Cisco IOS 提供 的 一 种 访问 控制 技术 ,被 
广泛 应 用 于 路 由 器 和 三 层 交换 机 。 借 助 ACL, 可 以 有 效 地 控制 用 户 对 网 络 和 Internet 的 访 
问 , 从 而 最 大 限度 地 保障 网 络 安全 。Cisco 支持 如 下 3 种 类 型 的 访问 列表 。 

(1) 标准 了 访问 控制 列表 。 此 类 访问 列表 只 允许 过 滤 源 地 址 ,上 且 功能 十 分 有 限 。 可 以 
用 于 阻止 来 自 某 一 网 络 的 所 有 通信 流量 ,或 者 允许 来 自 某 一 特定 网 络 的 所 有 通信 流量 。 

(2) 扩展 IP 访问 控制 列表 。 此 类 访问 列表 允许 过 滤 源 地 址 .目的 地 址 和 上 层 应 用 数 
据 , 因 此 可 以 适应 各 种 复杂 的 网 络 应 用 。 扩 展 IP 访问 控制 列表 既 检查 数据 包 的 源 地 址 ,也 
检查 数据 包 的 目的 地 址 ,还 检查 数据 包 的 特定 协议 类 型 端口 号 等 。 

(3) 命名 访问 控制 列表 。 在 标准 卫 访问 控制 列表 与 扩展 全 访问 控制 列表 中 均 要 使 用 表 
号 ,而 在 命名 访问 控制 列表 中 使 用 一 个 字母 或 数字 组 合 的 字符 串 来 代替 前 面 所 使 用 的 数字 。 

在 设置 访问 列表 时 ,应 当 遵循 最 小 特权 原则 , 即 只 给 受 控 对 象 完 成 任务 所 必需 的 最 小 权 
限 , 从 而 最 大 限度 地 保障 网 络 传输 安全 。 每 个 ACL 中 都 包含 一 个 ACE(Access Control 
Entry, 访 问 控制 条 目 ) 规 则 列表 ,每 个 ACE 都 指定 permit( 人 允许 ) 或 deny( 拒 绝 ), 以 及 应 用 
条 件 , 报 文 会 逐个 条 目 顺序 匹配 ACE。 访问 列表 表 项 的 检测 是 按照 自 上 而 下 的 顺序 进行 
的 ,因此 ,应 用 时 应 注意 ACL 中 ACE 的 先后 顺序 。 

2. NAT 

NAT(Network Address Translation, 网 络 地 址 转换 ) 是 常用 的 Internet 接 入 方式 之 一 ， 
其 实现 方式 有 如 下 3 种 。 

(1) 静态 转换 ,是 指 将 内 部 网 络 的 私有 IP 地 址 转换 为 公用 IP 地 址 时 ,IP 地 址 对 是 一 对 
一 的 ,是 一 成 不 变 的 , 某 个 私有 IP 地址 只 转换 为 某 个 公有 IP 地 址 。 借 助 于 静态 转换 ,可 实 
现 外 部 网 络 对 内 部 网 络 中 某 些 特定 设备 (如 服务 器 ) 的 访问 。 

(2) 动态 转换 ,是 指 将 内 部 网 络 的 私有 IP 地 址 转换 为 公用 IP 地 址 时 ,IP 地 址 对 是 不 确 
定 的 ,是 随机 的 ,所 有 被 授权 访问 Internet 的 私有 IP 地 址 ,可 随机 转换 为 任何 指定 的 合法 IP 
地 址 。 也 就 是 说 ,只 要 指定 哪些 内 部 地 址 可 以 进行 转换 ,以 及 用 哪些 合法 地 址 作为 外 部 地 址 
时 ,就 可 以 进行 动态 转换 。 动 态 转换 可 以 使 用 多 个 合法 外 部 地 址 集 。 当 ISP 提供 的 合法 IP 
地 址 略 少 于 网 络 内 部 的 计算 机 数量 时 ,可 以 采用 动态 转换 的 方式 。 

(3) 端口 多 路 复 用 ,是 指 改变 外 出 数据 包 的 源 端 口 并 且 进 行 端口 转换 完成 , 即 端口 地 址 
转换 (Port Address Translation,PAT) 。 采 用 端口 多 路 复 用 方式 ,内 部 网 络 的 所 有 主机 均 可 
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共享 一 个 合法 外 部 IP 地 址 ,实现 对 Internet 的 访问 ,从 而 可 以 最 大 限度 地 节约 IP 地 址 资 
源 。 同 时 ,又 可 隐藏 网 络 内 部 的 所 有 主机 ,有 效 避 免 来 自 Internet 的 攻击 。 因 此 ,目前 网 络 
中 应 用 最 多 的 就 是 端口 多 路 复 用 方式 了 。 

3. NetFlow 

NetFlow 是 Cisco 公司 开发 的 网 络 流量 分 析 工 具 , 一 个 NetFlow 系统 包括 3 个 主要 部 
分 : 探测 器 .采集 器 、 报 告 系 统 。 探 测 器 是 用 来 监听 网 络 数据 的 。 采 集 器 是 用 来 收集 探测 器 
传 来 的 数据 的 。 报 告 系统 是 用 来 从 采集 器 收集 到 的 数据 产生 易 读 的 报告 的 。 

并 不 是 所 有 的 Cisco 设备 均 支 持 NetFlow, 并 且 支 持 NetFlow 的 设备 所 支持 的 版 本 也 
有 所 不 同 。 具 体 支持 NetFlow 的 Cisco 设备 类 型 如 表 7-1 所 示 。 


表 7-1 支持 NetFlow 的 Cisco 设备 类 型 和 IOS 版 本 


Cisco IOS 软件 发 布 版 本 支持 的 Cisco 硬件 平台 


11.1CA,11.1CC Cisco 7200 及 7500 系列 ,RSP 7200 系列 
Cisco 1720,2600,3600,4500,4700,AS5800 
RSP 7000 及 7200 系列 


12.0 
uBR 7200 及 7500 系列 
RSM 系列 
Cisco 1720,2600,3600,4500,4700,AS5800 
RSP 7000 及 7200 
12.0T,12.0S 要 系列 


uBR 7200 及 7500 系列 

RSM 系列 ,MGX8800RPM 系列 ,及 BPx8600 系列 

Cisco 1720,2600,3600,4500,4700,AS5300,AS5800 

RSP 7000 及 7200 系列 

uBR 7200 及 7500 系列 

RSM 系列 ,MGX8800RPM 系列 ,BPx8650 系列 

Cisco 1400,1600,1720,2500,2600,3600,4500,4700,AS5300,AS5800 
RSP 7000 及 7200 系列 


12.0(3)T,12.0(3)S 


0 了 uBR 7200 及 7500 系列 

RSM 系列 ,MGX8800RPM 系列 ,BPx8650 系列 
12.0(4)XE Cisco 7100 系列 
12.0(6)S Cisco 12000 系列 


另外 ,Cisco 800、1700、1800、2800、3800、6500、7300、7600、10000、CRS-1, 以 及 Catalyst 
系列 的 4500 系列 .5500 系列 .6000 系列 交换 机 也 支持 NetFlow。 而 对 于 使 用 NetFlow 功 
能 卡 (NFFC) 或 NFFC 开 及 路 由 交换 模块 (RSM) ,或 路 由 交换 功能 卡 (RSFC) 的 交换 机 ,也 
可 支持 NetFlow, 但 需要 检查 是 否 支持 版 本 5, 因 为 多 数 交 换 机 默认 输出 版 本 7。 


7.5 无 线 接 入 点 安全 配置 


无 线 AP(Access Point, 接 入 点 ) 的 作用 类 似 于 以 太 网 络 中 的 交换 机 ,用 于 实现 无 线 客 
户 端 之 间 的 信号 中 继 和 互联 。 几 乎 所 有 的 无 线 AP 都 支持 Web、Telnet 以 及 图 形 窗口 管理 
方式 ,从 而 简化 了 网 络 设备 的 管理 难度 。 本 案例 中 ,无 线 AP 主要 部 署 在 展示 厅 中 ,设备 型 


计算 机 网 络 安 全 


号 为 Cisco Aironet 1300。 下 面 , 以 Cisco Aironet 1300 无 线 网 桥 ( 无 线 网 桥 也 是 无 线 AP 的 
一 种 ) 为 例 介绍 一 下 无 线 AP 的 常规 安全 设置 。 


7.5.1 配置 SSID 


默认 状态 下 ,无 线 AP 生产 商会 利用 SSID( 初 始 化 字符 串 ) ,来 检验 企图 登录 无 线 网 络 
节点 的 连接 请 求 ,一 旦 检验 通过 , 即 可 顺利 连接 到 无 线 网 络 。 由 于 同一 厂商 的 产品 都 使 用 相 
同 的 SSID 名 称 , 从 而 给 恶意 攻击 者 提供 了 入 侵 的 条 件 。 一 旦 他 们 使 用 通用 的 初始 化 字符 
串 来 连接 无 线 网 络 时 ,就 很 容易 建成 一 条 非 授权 链接 ,从 而 给 无 线 网 络 的 安全 带 来 威胁 。 因 
此 ,必须 修改 默认 的 SSID 初始 化 字符 串 ,提高 设备 安全 性 。 以 Cisco Aironet 1300 无 线 网 
桥 为 例 , 配 置 SSID 的 主要 操作 如 下 。 

(1) 以 管理 员 账 户 登 录 到 Cisco Aironet 1300 无 线 网 桥 Web 管理 窗口 后 , 单 击 左 侧 导 
航 栏 中 的 SECURITY , 即 可 查看 当前 的 各 项 安全 设置 ,如 图 7-9 所 示 ,继续 进入 下 面 的 相关 
配置 页 面 即 可 修改 安全 设置 。 
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图 7-9 当前 安全 设置 


(2) 在 安全 配置 窗口 中 , 单 击 左 侧 导航 栏 中 的 SSID Manager, 打开 如 图 7-10 所 示 的 
Security: Global SSID Manager 窗口 ,在 SSID Properties 选项 区 域 , 选 择 NEW 选项 并 在 左 
侧 设置 新 的 SSID 即 可 。 

(3) 在 如 图 7-11 所 示 的 Client Authentication Settings 选项 区 域 , 可 以 设置 客户 端 身份 
验证 方法 ,首先 选择 希望 使 用 的 验证 方法 ,选中 Open Authentication 复 选 框 ,并 在 后 面 的 下 
拉 列 表 框 中 选择 具体 验证 方式 即 可 ,包括 MAC 地 址 、EAP 加 密 等 。 然 后 , 在 Server 
Priorities( 服 务 器 优先 级 ) 选 项 区 域 , 选 择 所 设置 不 同 验证 方式 的 执行 顺序 (必须 同时 使 用 多 
种 验证 方式 才 可 设置 ) ,通常 情况 下 都 是 使 用 默认 设置 。 

(4) 在 如 图 7-12 所 示 的 Client Authenticated Key Management 选项 区 域 , 可 以 设置 客 
户 端 验证 密 钥 的 管理 方式 ,包括 mandatory( 强 制 执 行 ) 和 optional( 任 意 选 择 ) 两 种 方式 ,如 
果 选 中 Enable WPA 复 选 框 启用 WPA 加 密 功能 , 则 还 必须 设置 相应 的 加 密 密 码 。 
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图 7-10 Security: Global SSID Manager 窗口 
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图 7-11 设置 客户 端 验证 方式 


(5) 在 如 图 7-13 所 示 的 Multiple BSSID Beacon Settings 选项 区 域 , 切 记 不 要 选中 Set 
SSID as Guest Mode 复 选 框 ,所 谓 的 BSSID 是 SSID 的 一 种 ,SSID 是 对 BSSID 和 ESSID 的 
缩写 和 统称 。 如 果 在 无 线 网 络 只 有 一 个 无 线路 由 器 或 AP 发 射 源 时 , 则 各 个 客户 端 使 用 统 
一 的 BSSID 名 称 和 AP 通信 ; 如 果 在 无 线 网 络 有 多 个 无 线路 由 器 或 AP 发 射 源 并 相互 通过 
WDS(Wireless Distribution System ,无 线 分 布 式 系 统 ) 等 方式 连接 时 ,各 个 客户 端 使 用 统一 
的 ESSID 信息 和 AP 通信 。 

(6) 在 Guest Mode/Infrastructure SSID Settings 选项 区 域 ,选中 Single BSSID 单 选 按 
钮 即 可 。 选 中 Multiple BSSID 单 选 按钮 后 ,无 线 客户 端 可 以 通过 设置 自己 的 SSID 加 入 AP 
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图 7-12 设置 客户 端 验证 密 钥 管 理 方式 及 其 他 
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图 7-13 多 重 BSSID 设 置 


划分 的 不 同 VLAN 中 ,可 以 提高 网 络 安全 性 ,普通 用 户 不 推荐 配置 此 功能 。 


(7) 取消 无 线 AP 的 SSID 广播 也 是 非常 重要 的 ,在 Cisco Aironet 1300 无 线 网 桥 的 
Web 配置 窗口 中 , 单 击 左 侧 导 航 栏 中 的 EXPRESS SECURITY, 显示 如 图 7-14 所 示 的 
Express Security Set-Up 窗口 ,确认 SSID 文本 框 后 的 Broadcast SSID in Beacon 复 选 框 未 


被 选中 , 即 可 阻止 无 线 AP 在 覆盖 范围 内 广播 自己 的 SSID。 


提示 : 修改 无 线 AP 的 SSID 后 ,也 必须 在 工作 站 的 无 线 网 络 属性 中 作 相 应 的 设置 ,从 
而 保持 与 无 线 AP 的 一 致 。 在 无 线 漫游 网 络 中 ,所 有 无 线 AP 的 SSID 必须 保持 相同 。 
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图 7-14 Express Security Set-Up 窗口 


7.5.2 配置 访问 列表 


配置 ACL 是 Cisco IOS 的 功能 之 一 。Cisco Aironet 1300 无 线 网 桥 允 许 用 户 配 置 多 种 
访问 列表 ,包括 MAC 地 址 访问 控制 列表 、IP 访问 列表 和 协议 类 型 访问 列表 。 

1. MAC 地 址 访问 列表 

在 Cisco Aironet 1300 的 安全 配置 窗口 中 ,依次 展开 SERVICES 一 FITERS 选项 ,切换 
到 如 图 7-15 所 示 的 MAC ADDRESS FILTERS 选项 卡 .在 Create/Edit Filter Name 下 拉 菜 
单 中 ,可 以 选择 并 编辑 现 有 MAC 访问 列表 ,如 果 选 择 NEW 选项 , 则 可 以 新 建 MAC 访问 列 
表 ; 在 Filter Index 文 本 框 中 ,输入 访问 列表 号 ,MAC 地 址 访问 列表 号 的 范围 是 700 一 799; 
在 Add MAC Address 输入 网 络 设备 或 端口 的 MAC 地 址 ,如 果 输 入 子 网 掩 码 则 可 以 设置 一 
段 MAC 地 址 ; 在 Action 下 拉 列 表 框 中 ,执行 的 操作 有 Forward 或 Block。 切 记 , 最 后 一 定 
要 设置 Default Action 选项 , 即 默 认 操 作 。 

2. IP 访问 列表 

在 Cisco Aironet 1300 的 安全 配置 窗口 中 ,依次 展开 SERVICES-~FITERS 选项 ,切换 
到 如 图 7-16 所 示 的 IP FILTERS 选项 卡 ,在 Create/Edit Filter Name 下 拉 菜 单 中 ,可 以 选 
择 并 编辑 现 有 IP 访问 列表 ,如 果 选 择 NEW 选项 , 则 可 以 新 建 了 访问 列表 。 在 Filter Name 
文本 框 中 输入 新 建 访问 列表 的 名 称 , 如 Office; 在 Default Action 下 拉 列 表 框 中 选择 默认 的 
操作 ,Block All( 阻 止 所 有 ) 或 Forward All( 放 行 所 有 ); 在 Destination Address 文本 框 中 输 
入 目标 IP 地 址 和 子 网 掩 码 ; 在 Source Address 文本 框 中 输入 源 IP 地 址 和 子 网 掩 码 ; 在 
Action 下 拉 列 表 框 中 ,执行 的 操作 有 Forward 或 Block。 最 后 , 单 击 Add 按钮 ,将 其 添加 到 
Filters Classes 列表 中 。IP Protocol 和 UDP/TCP Port 区 域 的 设置 与 此 类 似 ,这 里 不 再 
著述 。 
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图 7-15 MAC ADDRESS FILTERS 选项 卡 
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图 7-16 ”IP FILTERS 选项 卡 


7.5.3 配置 WEP 加 密 


IEEE 802. 11 的 安全 性 选项 包括 以 WEP 算法 为 基础 的 身份 验证 服务 和 加 密 服 务 。 
WEP 是 一 套 安全 服务 ,用 来 防止 IEEE 802. 11 网 络 受 到 未 授权 用 户 的 访问 ,例如 偷 听 ( 捕 
获 无 线 网 络 通信 ) 等 。 利 用 自动 无 线 网 络 配 置 ,可 以 指定 进入 网 络 时 用 于 身份 验证 的 网 络 密 
钥 。 也 可 以 指定 使 用 哪个 网 络 密码 来 对 通过 该 网 络 传输 的 数据 进行 加 密 。 启 用 数据 加 密 
时 ,生成 秘密 的 共享 加 密 密 钥 ,因而 避免 泄露 给 偷 听 者 。 
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1. 开放 式 系统 和 共享 密 钥 身 份 验证 

IEEE 802. 11 支持 两 个 子 类 型 的 网 络 身份 验证 服务 , 即 开 放 式 系统 和 共享 密 钥 。 在 “ 开 
放 式 身 份 验证 ”下 ,任何 无 线 站 都 可 请 求 身 份 验证 。 需 要 通过 一 个 身份 验证 的 无 线 站 将 包含 
发 送 站 的 身份 验证 管理 帧 发 送出 去 。 接 收 站 然后 将 表明 其 是 否 识别 发 送 站 的 身份 的 帧 发 送 
回去 。 在 “共享 密 钥 ”身份 验证 下 ,每 个 无 线 站 都 被 假定 为 具有 安全 频道 的 秘密 共享 密 钥 ,该 
安全 频道 独立 于 IEEE 802. 11 无 线 网 络 通 信和 频道 。 要 使 用 “共享 密 钥 ”身份 验证 ,必须 具有 
一 个 网 络 密 钥 。 

2. 网 络 密 钥 

启用 WEP 时 ,用 户 可 以 指定 用 于 加 密 的 网 络 密 钥 。 可 为 用 户 自动 提供 网 络 密 钥 ( 例 
如 ,可 能 会 提供 在 无 线 网 络 适配器 上 ), 用 户 也 可 以 通过 输入 方式 来 亲自 指定 密 钥 。 如 果 用 
户 亲 自 指定 密 钥 ,还 可 以 指定 密 钥 长 度 (40 位 或 104 位 )、 密 钥 格式 (ASCII 字符 或 十 六 进 制 
数字 ) 和 密 钥 索引 (存储 特定 密 钥 的 位 置 )。 密 钥 长 度 越 长 , 密 钥 越 安 全 。 密 钥 长 度 每 增加 一 
位 ,可 能 的 密 钥 数量 就 会 增加 一 倍 。 

在 IEEE 802.11 下 ,可 用 多 达 4 个 密 钥 ( 密 钥 索引 值 为 0.1.2 和 3) 配 置 无 线 站 。 当 访 
问 点 或 无 线 站 利用 存储 在 特定 密 钥 索引 中 的 密 钥 传 送 加 密 邮件 时 ,传送 的 邮件 指明 用 来 对 
邮件 正文 加 密 的 密 钥 索引 。 然 后 接收 访问 点 或 无 线 站 可 以 检索 存储 在 密 钥 索引 处 的 密码 并 
使 用 它 来 对 加 密 邮 件 正 文 进行 解码 。 

以 Cisco Aironet 1300 无 线 网 桥 为 例 , 在 安全 配置 窗口 中 , 单 击 导 航 栏 中 的 Encryption 
Manager, 打 开 如 图 7-17 所 示 的 Security: Encryption Manager 窗口 。 系 统 默认 选中 None 
单 选 按钮 , 即 为 启用 加 密 功 能 。 在 Encryption Modes 选项 区 域 选 中 WEP Encryption 或 
Cipher 单 选 按钮 , 即 可 启用 WEP 加 密 或 使 用 其 他 加 密 方法 。Cisco Aironet 1300 无 线 网 桥 
支持 WEP、TKIP (Temporal Key Integrity Protocol, 暂时 密 钥 集成 协议 )、CMIC (Cisco 
Message Integrity Check ,思科 消息 完整 性 检测 ) 等 多 种 加 密 协 议 ,或 者 多 种 协议 配合 使 用 
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加 强 安全 性 。 在 Encryption Keys 选项 区 域 ,分 别 设置 相应 的 Encryption Key 值 即 可 。 需 
要 注意 的 是 , 密 钥 越 长 ,加 密 效 果 越 好 ,但 同时 也 将 占用 更 多 的 性 能 ,从 而 导致 无 线 传输 速率 
下 降 。 


7.5.4 ”配置 入 侵 检 测 功 能 


有 些 无 线 AP 本 身 已 经 集成 了 简单 的 入侵 检测 功能 ,可 以 帮助 网 络 管理 员 保 护 管理 端 
口 ,在 第 一 时 间 识 别 各 种 网 络 信人 侵 。 需 要 注意 的 是 ,启用 该 功能 后 ,可 能 影响 到 设备 QoS， 
因此 建议 普通 用 户 保持 默认 设置 , 即 不 启用 该 功能 。 

在 Cisco Aironet 1300 无 线 网 桥 的 安全 配置 窗口 中 , 单 击 左 侧 导 航 栏 中 的 Intrusion 
Detection ,打开 如 图 7-18 所 示 的 Intrusion Detection: Management Frame Protection 窗口 。 
如 果 选 中 Transmit MFP Frames 复 选 框 , 则 该 AP 向 外 发 送信 息 时 将 自动 对 信息 完整 性 进 
行 保护 和 验证 ,同时 要 求 接收 端 必 须 是 当前 WDS 中 的 成 员 ,否则 将 无 法 成 功 阅读 消息 。 如 
果 选 中 Detect MFP Frames 复 选 框 , 则 无 线 AP 将 对 每 一 个 传人 连接 进行 验证 ,确保 消息 的 
完整 性 和 有 效 性 ,抵御 外 来 侵袭 。 
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习题 


. 三 层 交 换 机 通常 可 以 支持 哪些 基本 安全 配置 ? 各 有 什么 作用 ? 

. 简 述 如 何 配置 核心 交换 机 的 端口 流量 分 析 。 

. 什么 是 访问 列表 ? 有 哪 几 种 类 型 ? 

. 简 述 无 线 网 络 中 SSID 的 作用 ,如 何 通 过 配置 SSID 保护 无 线 网 络 安全 。 
. 什么 是 NAT 接 人 技术 ? 有 哪 几 种 实现 方式 ? 


中 wD- 
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实验 : 为 无 线 AP 配置 并 应 用 访问 列表 


实验 目的 : 

掌握 访问 列表 在 网 络 安全 中 的 应 用 。 

实验 内 容 : 

根据 无 线 客户 端 计算 机 的 MAC 地 址 ,配置 MAC 地 址 访问 列表 ,只 允许 列表 中 的 计算 
机 通过 无 线 AP 接 入 企业 网 络 。 

实验 步骤 ， 

(1) 获取 所 有 人 允许 连接 无 线 AP 的 计算 机 的 MAC 地 址 ,可 以 通过 ipconfig 命令 或 
MAC 地 址 扫描 工具 实现 。 

(2) 编辑 MAC 地 址 访问 列表 。 

(3) 将 访问 列表 条 目 应 用 到 无 线 AP 的 以 太 网 口 , 并 保存 配置 。 

(4) 使 用 一 台 列表 中 未 包括 的 计算 机 访问 无 线 AP, 验 证 配置 效果 。 


局 域 网 接 入 安全 认证 


局 域 网 中 包含 的 网 络 设备 复杂 多 样 ,比较 常用 的 设备 包括 路 由 器 .交换机 、 防 火 墙 、 无 线 
AP 服务 器 等 。 随 着 IEEE 802. 11 无 线 局 域 网 和 普遍 宽带 互联 网 连接 的 广泛 部 署 ,安全 问 
题 不 仅 存在 于 网 络 外 围 , 还 存在 于 网 络 内 部 ,网 络 设备 的 安全 接 人 和 访问 控制 已 经 成 了 网 络 
安全 的 一 部 分 。 能 够 防御 这 些 安全 漏洞 的 身份 识别 网 络 技术 现 已 成 为 吸引 全 球 客户 关注 的 
主要 技术 。 


8.1 局 域 网 接 入 安全 认证 规划 


在 企业 网 络 中 ,局 域 网 接 和 人 安全 认证 系统 对 网 络 安全 起 着 非常 重要 的 作用 ,不 仅 能 够 杜 
绝 非法 终端 随意 接 和 人 网 络 ,而且 可 以 为 通过 安全 认证 的 终端 设备 获得 相应 的 访问 权限 。 该 
企业 局 域 网 中 的 大 部 分 网 络 设备 均 支持 802. 1x 认证 机 制 ,通过 为 展示 厅 、 办 公 区 等 开放 性 
较 高 的 区 域 的 网 络 设备 启用 安全 认证 功能 ,可 以 阻止 危险 因素 的 入 侵 。 


8.1.1 案例 情景 


目前 ,在 该 企业 网 络 中 没有 任何 终端 接 入 安全 认证 系统 ,任何 品牌 、 型 号 的 交换 机 、 计 算 
机 、 防 火 墙 等 网 络 设备 都 可 以 随意 接 入 网 络 。 在 展示 厅 部 署 的 无 线 局 域 网 系统 ,所 有 无 线 客 
户 端 均 可 以 通过 无 线 AP 接 入 企业 局 域 网 ,并 通过 局 域 网 接 入 Internet。 如 果 临 时 接 入 网 络 
的 客户 端 计算 机 存在 安全 隐患 , 则 将 直接 影响 局 域 网 的 安全 。 在 办 公 区 如 果 企 业 员工 将 私 
人 计算 机 带 到 单位 ,并 接 入 局 域 网 , 则 很 容易 造成 企业 机 密 信 息 外 汇 。 

该 网 络 中 缺乏 集中 的 报告 和 监控 系统 ,一 旦 出 现 问题 ,管理 员 只 能 调 出 近期 所 有 的 网 络 
日 志 信 息 , 由 于 日 志 信息 量 的 庞大 ,管理 员 的 工作 负担 是 可 想 而 知 的 。 


8.1.2 项 目 需求 


大 量 的 网 络 安全 事件 证 明 , 网 络 内 部 的 不 安全 因素 远 比 外 网 入 侵 严 重 。 堵 住 内 网 安全 
漏洞 才 是 打造 企业 安全 稳定 局 域 网 的 重要 因素 。 为 了 提供 局 域 网 接 人 的 安全 性 ,需要 对 终 
端 设 备 的 身份 进行 集中 认证 管理 ,对 网 络 设备 进行 统一 管理 ,提高 局 域 网 接 人 的 灵活 性 、 安 
全 性 和 移动 性 ,进一步 增强 网 络 访问 安全 。 通 过 身份 验证 机 制 对 客户 端 执行 不 同 的 访问 策 
略 ,严格 限制 网 络 终端 的 访问 行为 。 为 了 减轻 管理 员 的 工作 负担 ,需要 在 网 络 中 部 署 局 域 网 
接 入 记 账 系统 ,实时 记录 终端 设备 的 接 入 情况 。 
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802. 1x 是 目前 比较 常用 的 身份 验证 方法 之 一 。 该 企业 网 络 中 有 几 十 个 用 户 , 每 个 用 户 
接 入 到 网 络 中 都 需要 身份 验证 。 如 果 在 路 由 器 上 通过 命令 实现 ,不 仅 工作 量 大 ,而 且 容 易 出 
错 。 此 时 就 需要 在 网 络 中 部 署 ACS 服务 器 ,用 于 处 理 网 络 设备 发 送 过 来 的 客户 端 身份 验证 
请 求 ,并 根据 用 户 策略 授予 用 户 不 同 的 访问 权限 。 另 外 ,ACS 服务 器 还 可 以 把 用 户 的 访问 
记录 从 开始 到 结束 ,全 部 记录 下 来 ,然后 管理 员 可 以 随时 查看 处 理 这 些 问 题 。 


8.1.3 解决 方案 


通过 在 企业 网 络 中 部 署 ACS 服务 器 ,可 以 对 接 入 局 域 网 的 终端 设备 进行 集中 身份 验 
证 , 记 账 ,避免 存在 安全 隐患 的 网 络 设备 接 入 网 络 。CiscoSecure ACS 是 一 款 由 Cisco 公司 
分 发 和 维护 的 访问 控制 和 记 账 系统 。CiscoSecure ACS 服务 器 是 具 高 可 扩展 性 的 高 性 能 访 
问 控制 服务 器 ,可 作为 集中 的 RADIUS 服务 器 运行 。CiscoSecure ACS 将 验证 ,企业 员工 访 
问 和 管理 员 访 问 与 策略 控制 结合 在 一 个 集中 的 身份 识别 网 络 解 决 方案 中 。 它 通过 对 所 有 企 
业 员 工 账户 使 用 一 个 集中 数据 库 ,CiscoSecure ACS 可 集中 控制 所 有 的 员工 权限 并 将 他 们 
分 配 到 网 络 中 的 几 百 甚至 几 千 个 接 入 点 。 

对 于 记 账 服务 ,CiscoSecure ACS 针对 员工 的 网 络 行为 提供 具体 的 报告 和 监控 功能 ,并 
记录 整个 网 络 上 每 次 的 访问 连接 和 设备 配置 变化 。CiscoSecure ACS 支持 广泛 的 访问 连 
接 , 包 括 有 线 和 无 线 局 域 网 、 宽 带 、 内 容 、 存 储 、IP 上 的 语音 (VoIP) \ 防 火 墙 和 VPN 等 。 


8.2 安装 和 配置 ACS 服务 器 


CiscoSecure ACS 是 Cisco IBNS(Identity Based Networking Services ,基于 身份 的 网 络 
月 务 ) 架 构 的 重要 组 件 。Cisco IBNS 基于 802. 1x 和 EAP 等 端口 安全 标准 ,并 将 安全 验证 、 
授权 和 记 账 (AAA) 从 网 络 外 围 扩展 到 了 局 域 网 中 的 每 个 连接 点 。 用 户 可 在 这 个 全 新 架构 
中 部 署 新 的 策略 控制 工具 (如 每 个 用 户 的 配额 `VLAN 分 配 和 ACL) ,这 是 因为 思科 交换 机 
和 无 线 接 入 点 的 扩展 功能 可 用 于 在 RADIUS 协议 上 
查询 CiscoSecure ACS。 


命 Sun 
h 罗 全 9 庶 扒 机 a 
Standard Edition 


严格 地 讲 ,Java 虚拟 机 环境 并 不 是 ACS 服务 器 ee 
的 必需 组 件 ,而 是 为 远程 管理 ACS 服务 器 准备 的 。 I 
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如 果 需 要 在 远程 计算 机 上 管理 ACS 服务 器 , 则 ACS mm [Eeeal 
服务 器 和 远程 管理 计算 机 上 必须 同时 安装 Java 虚拟 
机 ,如 图 8-1 所 示 。Sun Java 虚拟 机 的 下 载 地 址 
如 下 : 


图 8-1 安装 Java 虚拟 机 


http://www.javaresearch. org/members/jross/jdk/jdk-1_5_0-windows-i586. exe 


8.2.2 安装 ACS 服务 器 


完成 所 有 准备 工作 之 后 , 即 可 开始 安装 CiscoSecure ACS 4. 2, 安 装 过 程 非常 简单 。 在 安装 
向 导 的 帮助 下 , 即 可 顺利 完成 。 
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(1) 启动 CiscoSecure ACS 4. 2 安装 向 导 , 显 示 CiscoSecure ACS v4. 2 Setup 对 话 框 ， 
单 击 ACCEPT 按钮 显示 Welcome 对 话 框 , 连 续 单 击 Next 按钮 ,直至 显示 如 图 8-2 所 示 的 
Before You Begin 对 话 框 ,选中 所 有 复 选 框 方 可 继续 进行 。 
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图 8-2 Before You Begin 对 话 框 


(2) 单 击 Next 按钮 ,显示 Choose Destination Location 对 话 框 ,设置 ACS 的 安装 路 径 。 
单 击 Next 按钮 ,显示 Authentication Database Configuration 对 话 框 ,选中 Check the ACS 
Internal Database only 单 选 按 钮 , 单 击 Next 按钮 ,显示 Advanced Options 对 话 框 ,在 这 里 
可 以 设置 用 户 优先 级 ,组 优先 组 .最 大 支持 的 会 话 连接 等 内 容 , 如 图 8-3 所 示 。 
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图 8-3 设置 安装 路 径 ,数据库 和 其 他 选项 
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(3) 单 击 Next 按钮 ,显示 如 图 8-4 所 示 的 Active Service Monitoring 对 话 框 ,如 果 和 希望 
使 用 ACS 服务 器 监听 用 户 认证 服务 , 则 选中 Enable Log-in Monitoring 复 选 框 ,在 Script to 
execute 下 拉 列 表 框 中 选择 * Restart All 选项 , 即 一 旦 ACS 监听 用 户 认 证 服务 失败 ,立刻 执 
行 重启 所 有 的 ACS 的 服务 ,保证 ACS 正常 提供 服务 。 如 果 和 希望 当 系 统 监听 到 事件 时 ACS 
发 送 邮 件 信 息 ,选中 Enable Mail Notifications 复 选 框 ,再 输入 相关 的 信息 即 可 。 

(4) 单 击 Next 按钮 ,显示 如 图 8-5 所 示 的 CiscoSecure ACS Service Initiation 对 话 框 ， 
设置 数据 库 加 密 密 码 , 当 出 现 严重 的 问题 需要 手动 访问 ACS 数据 库 时 使 用 ,一 般 不 常用 。 
密码 长 度 最 少 8 位 字符 ,并 且 是 字母 和 数字 的 组 合 。 单 击 Next 按钮 ,开始 安装 ,完成 后 将 提 
示 是 否 立 即 启动 ACS。 继 续 单 击 Next 按钮 完成 安装 。 
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图 8-4 ”Active Service Monitoring 对 话 框 图 8-5 ”CiscoSecure ACS Service Initiation 对 话 框 


(5) 单 击 Finish 按钮 ,结束 安装 ,立即 启动 ACS, 显 示 如 图 8-6 所 示 的 CiscoSecure ACS 
窗口 。 

默认 情况 下 ,由 于 IE 浏览 器 的 默认 安全 级 别 较 高 ,可 能 会 阻止 窗口 内 容 的 显示 。 此 时 ， 
可 以 单 击 “工具 ?菜单 ,选择 下 拉 菜 单 中 的 “Internet 选项 ”命令 ,显示 “Internet 选项 ”对 话 框 ; 
切换 到 “安全 ”选项 卡 ,选中 “本 地 Intranet” 并 单 击 “ 站 点 "按钮 ,显示 “本 地 Intranet” 对 话 框 。 
在 “将 该 网 站 添加 到 区 域 "文本 框 中 输入 ACS 服务 器 站 点 的 地 址 , 单 击 “ 添 加 ”按钮 添加 到 
“网 站 ”列表 中 ,如 图 8-7 所 示 。 
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图 8-6 CiscoSecure ACS 窗口 8-7 调整 正 浏览 器 安全 级 别 
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8.2.3 ACS 服务 器 基本 配置 


ACS 服务 器 安装 完成 之 后 ,还 必须 进行 配置 才能 与 Active Directory 协同 工作 ,为 ACS 
客户 端 提供 审核 和 认证 。 

1. 配置 加 密 算法 

在 ACS 管理 窗口 中 ,依次 单 击 System Configuration~>Global Authentication Setup 链 
接 , 显 示 如 图 8-8 所 示 的 Global Authentication Setup 窗口 。 在 EAP Configuration 选项 区 域内 
选中 Allow EAP-MSCHAPv2 和 Allow EAP-GTC 复 选 框 。 在 MS-CHAP Authentication 选项 
区 域内 选中 Allow MS-CHAP Version 1 Authentication 和 Allow MS-CHAP Version 2 
Authentication 复 选 框 。 单 击 Submit 十 Restart 按钮 ,保存 设置 。 
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图 8-8 Global Authentication Setup 窗口 


2. 配置 AAA Client 

由 于 ACS 客户 端 是 无 须 任何 代理 组 件 的 ,所 以 管理 员 必须 先 在 ACS 服务 器 上 配置 
AAA Client。 在 ACS 管理 窗口 中 , 单 击 Network Configuration 按钮 ,显示 Network 
Configuration 窗口 ,在 AAA Client 选项 区 域内 单 击 Add Entry 按钮 ,显示 如 图 8-9 所 示 的 
Add AAA Client 窗口 。 在 AAA Client Hostname 文本 框 中 ,输入 配置 802. 1x 身份 验证 功 
能 的 网 络 设备 主机 名 ; 在 AAA Client IP Address 文本 框 中 ,输入 网 络 设备 的 IP 地址。 在 
Authenticate Using 下 拉 列 表 框 中 选择 RADIUS(Cisco IOS/PIX 6. 0) 选 项 。 最 后 , 单 击 
Submit 十 Apply 按钮 保存 设置 。 

3. 自 定 义 授权 命令 集 

通过 自 定 义 命令 集 , 可 以 使 ACS 服务 器 仅 对 指定 的 命令 进行 授权 和 记 账 , 即 当 用 户 登 
录 网 络 设备 运行 授权 的 命令 时 可 以 执行 ,而 运行 未 经 授权 的 命令 或 子 命令 都 是 不 允许 的 。 

(1) 在 ACS 服务 器 管理 窗口 中 , 单 击 Shared Profile Components 按钮 ,显示 Shared 
Profile Components 窗口 , 单 击 Shell Command Authorization Sets 链接 ,显示 如 图 8-10 所 
示 的 窗口 。 
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图 8-9 Add AAA Client 窗口 


8-10 添加 自 定义 授权 命令 集 


(2) 单 击 Add 按钮 ,显示 如 图 8-11 所 示 的 Shell Command Authorization Set 窗口 。 在 
Name 文本 框 中 输入 命令 集 名 称 ,例如 list。 在 Description 文本 框 中 输入 命令 集 的 描述 信 
息 。 通 过 选中 Permit 或 Deny 单 选 按钮 ,可 以 允许 或 禁止 对 Unmatched Commands 列表 中 
指定 的 命令 授权 或 记 账 ,此 处 保留 系统 默认 的 Deny 单 选 按钮 。 

(3) 在 Add Command 按钮 上 方 的 文本 框 中 输入 希望 添加 的 命令 ,例如 configure, 单 击 
Add Command 按钮 ,将 其 添加 到 上 方 的 列表 中 ,选中 左 侧 列表 中 的 命令 ,在 右 侧 列表 中 直接 
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图 8-11 Shell Command Authorization Set 窗口 


输入 与 其 相关 的 参数 ,格式 为 "permit 十 参数 ”, 例 如 permit terminal。ACS 服务 器 可 以 允许 
或 拒绝 右 侧 参 数列 表 中 不 匹配 的 参数 ,建议 选中 Permit Unmatched Args 复 选 框 , 如 
图 8-12 所 示 。 


Shared Profile Components 


Shell Command 国 
Authorization Set 


图 8-12 编辑 命令 集 
(4) 单 击 Submit 按钮 ,保存 设置 ,显示 如 图 8-13 所 示 的 窗口 。 使 用 相同 的 方法 可 以 创 
建 多 个 自 定义 授权 命令 集 。 
4. 创建 用 户 组 


为 了 便于 统一 管理 使 用 ACS 服务 器 进行 身份 验证 的 用 户 账 户 , 可 以 事先 创建 用 户 组 ， 
然后 将 不 同 需求 的 用 户 账户 指派 到 不 同 的 分 组 中 ,需要 为 用 户 授权 时 ,直接 对 用 户 组 进行 操 
作 即 可 。 
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图 8-13 ”成功 创建 的 命令 集 


(1) 在 ACS 管理 窗口 中 , 单 击 Group Setup 按钮 ,显示 如 图 8-14 所 示 的 窗口 。 默 认 情 
况 下 ,ACS 服务 器 已 经 提供 了 500 个 用 户 组 ,默认 组 的 名 称 是 Default Group, 其 他 组 名 称 是 
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图 8-14 ”Group Setup 窗口 


(2) 在 Group 下 拉 列 表 框 中 选择 希望 重 命名 的 组 ,例如 :Group 1, 单 击 Rename Group 
按钮 ,显示 如 图 8-15 所 示 的 Renaming Group:Group 1 窗口 。 在 Group 文本 框 中 输入 新 的 


组 名 称 即 可 。 
(3) 单 击 Submit 按钮 ,保存 设置 并 返回 到 Group Setup 窗口 。 单 击 Edit Settings 按 
钮 ,显示 如 图 8-16 所 示 的 窗口 , 拖 动 滚动 条 至 Shell(exec) 选 项 区 域 , 选 中 Shell(exec) 复 选 


框 , 即 对 组 中 的 所 有 账户 启用 Shell。 
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图 8-15 Renaming Group:Group 1 窗口 
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图 8-16 开启 组 的 Shell 


(4) 单 击 Submit 按钮 ,保存 设置 。 

5. 创建 用 户 账户 

ACS 服务 器 的 工作 模式 比较 灵活 , 既 可 以 基于 当前 域 ,也 可 以 独立 运行 。 如 果 基 于 现 
有 域 , 则 可 以 直接 关联 域 中 的 指定 用 户 组 ,使 用 户 通过 域 用 户 账户 登录 网 络 设备 ,同时 接受 
域 控制 器 和 ACS 服务 器 的 身份 验证 和 记 账 服务 。 如 果 ACS 服务 器 独立 运行 , 则 需要 创建 
专用 的 用 户 账户 。 

(1) 在 ACS 服务 器 管理 窗口 中 , 单 击 User Setup 按钮 ,显示 如 图 8-17 所 示 的 User 
Setup 窗口 ,在 User 文本 框 中 输入 用 户 名 称 , 如 userl1。 应 用 过 程 中 的 用 户 管理 也 是 在 该 窗 
口中 进行 的 , 单 击 List all users 按钮 ,可 以 在 右 侧 窗口 中 显示 ACS 服务 器 上 的 所 有 用 户 
账户 。 
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图 8-17 User Setup 窗口 


(2) 单 击 Add/Edit 按钮 ,显示 如 图 8-18 所 示 的 窗口 ,在 这 里 可 以 编辑 用 户 账户 相关 信 


息 。 首 先 在 Supplementary User Info 选项 区 域 设置 用 户 账户 的 基本 描述 信息 。 
Er lx 
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User userl (New User) 


让 Account oabled 


Supplementary Usertmo 和 


ReaName fee 


TT TA 者 


图 8-18 设置 用 户 账户 描述 信息 


(3) 为 用 户 分 配 认 证 密码 数据 库 并 设置 密码 ,如 图 8-19 所 示 。 向 下 拖 动 滚动 条 ,在 
User Setup 选项 区 域 的 Password Authentication 下 拉 列 表 框 中 选择 ACS Internal 
Database 选项 ,即使 用 ACS 内 部 数据 库 验证 用 户 账 户 密码 。 如 果 ACS 服务 器 是 基于 域 的 ， 
则 此 处 应 选择 Windows Database 选项 。 在 Password 和 Confirm Password 文本 框 中 输入 
用 户 账 户 密码 。 

(4) 将 用 户 账户 指派 到 组 ,如 图 8-20 所 示 。 为 了 便于 统一 管理 ,建议 将 用 户 账户 指派 
到 指定 的 组 中 ,向 下 拖 动 滚动 条 ,在 Group to which the user is assigned 下 拉 列 表 框 中 , 选 
择 希 望 将 该 用 户 账户 指派 到 的 组 ,例如 IT1。 
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Group to which the user is assigned: 


8-20 ”将 用 户 账户 指派 到 组 


(5) 为 用 户 账户 启用 Shell, 如 图 8-21 所 示 。 为 了 使 用 ACS 服务 器 对 用 户 账户 的 操作 
命令 行进 行 授权 和 记 账 ,必须 启用 用 户 账户 的 Shell。 

如 果 用 户 所 在 组 已 经 启用 Shell, 则 用 户 账户 本 身 无 须 再 启用 ,只 需 在 Shell Command 
Authorization Set 选项 区 域 中 选中 As Group 单 选 按钮 即 可 ,如 图 8-22 所 示 。 如 果 希 望 对 
所 有 操作 命令 进行 授权 和 记 账 , 则 可 以 选中 Assign a Shell Command Authorization Set for 
any network device 单 选 按钮 ,并 在 其 下 拉 列 表 框 中 选择 实现 编辑 好 的 命令 集 即 可 ,本 例 中 
选择 的 是 前 面 创建 的 list 命令 集 。 

(6) 单 击 Submit 按钮 ,保存 设置 。 
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6. 添加 管理 员 账 户 
若 要 通过 网 络 远程 管理 ACS 服务 器 , 则 必须 先 创建 用 于 远程 管理 的 用 户 账户 。 在 
ACS 管理 窗口 中 , 单 击 Add Administrator 按钮 ,显示 如 图 8-24 所 示 的 Add Administrator 
窗口 。 在 Administrator Details 选项 区 域 设 置 用 户 名 和 密码 。 在 Administrator Privileges 
选项 区 域 , 设 置 管理 员 的 权限 范围 。 


图 8-22 为 用 户 应 用 组 配置 


提示 : 管理 员 可 以 根据 需要 自 定义 用 户 账户 配置 窗口 中 显示 的 选项 。 在 ACS 管理 器 
窗口 中 , 单 击 Interface Configuration 按钮 ,显示 如 图 8-23 所 示 的 Interface Configuration 窗 
口 ,在 Advanced Options 列表 中 选中 希望 显示 的 选项 即 可 ,如 果 不 明白 选项 对 应 的 内 容 , 建 
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图 8-23 Interface Configuration 窗口 
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图 8-24 Add Administrator 窗口 


8.2.4 ”管理 ACS 记 账 信息 


ACS 服务 器 正常 运行 之 后 , 即 可 自动 对 网 络 访问 进行 身份 验证 ,授权 和 记 账 ,同时 生成 
相应 的 日 志 , 管 理 员 可 以 根据 需要 随时 查看 。 默 认 情 况 下 , ACS 服务 器 并 未 开启 所 有 操作 
或 授权 的 日 志 记录 ,管理 员 可 以 根据 需要 配置 其 自动 生成 的 日 志 类 型 。 

1. 配置 日 志 功能 

配置 日 志 功能 的 操作 步骤 如 下 。 

(1) 在 ACS 管理 窗口 中 , 单 击 System Configuration 按钮 ,在 显示 的 窗口 中 单 击 
Logging 链接 ,显示 如 图 8-25 所 示 的 ACS Reports 窗口 。 如 果 日 志 名 称 对 应 的 配置 状态 为 
“XxX”, 则 表明 禁用 此 日 志 功 能 , 即 不 记录 日 志 ; 否则 将 生成 日 志 。 
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图 8-25 ”ACS Reports 窗口 


(2) 以 Passed Authentication 为 例 , 单 击 CSV 列 中 的 Configuration 链接 ,显示 如 
图 8-26 所 示 的 CSV Passed Authentications File Configuration 窗口 ,在 Enable Logging 选 
项 区 域内 选中 Log to CSV Passed Authentications report 复 选 框 , 即 启用 该 日 志 记 录 。 在 
Select Columns To Log 选项 区 域 设 置 日 志文 件 中 显示 的 项 目 名 称 , 在 左 侧 列表 中 选中 希望 
添加 的 项 目 , 单 击 一 按钮 将 其 添加 到 右 侧 列表 中 。 除 此 之 外 ,还 可 以 设置 日 志 的 保存 路 径 、 
大 小 等 。 


CSV passed Authentications File Configuration 
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图 8-26 CSV Passed Authentications File Configuration 窗口 


(3) 单 击 Submit 按钮 ,保存 设置 。 

2. 查看 日 志 

(1) 在 ACS 管理 窗口 中 , 单 击 Reports and Activity 按钮 ,显示 如 图 8-27 所 示 的 Reports 窗 
根据 ACS 服务 器 配置 的 身份 验证 项 目的 不 同 , 生 成 的 记 账 信息 也 会 有 所 不 同 。 例 如 ， 


@。。 


242 “计算 机 网 络 变 全 


单 击 TACACS 十 Accounting 链接 ,在 右 侧 列表 中 将 显示 所 有 的 TACACS 十 Accounting 记 


账 信息 。 


TRUETTT 一 一 ol 
EX |O http /1/12 00 1:27524/ pl 
本 [el 从- 目 - 擅 -70) -全 IAD 


Reports and Activity 


WY acs semice Monitorng 
本 BO Entitiement peports 


Select a TACACS+ 
Accounting file 


| Tcscsanaxnbua A008-12 ee 上 | 
厂矿 厂 厂 局 陋 相 地 mrewt | 保护 模式 央 风 [WW 


图 8-27 Reports 窗口 


(2) 在 右 侧 列表 中 按 文件 名 中 的 日 期 检索 希望 查看 的 记 账 信息 , 单 击 文件 名 链接 显示 
如 图 8-28 所 示 的 窗口 , 即 可 查看 当前 所 有 的 登录 记录 。 
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图 8-28 查看 详细 记 账 信息 


8.3 基于 ACS 的 基本 认证 


完成 ACS 服务 器 基本 配置 之 后 , 即 可 开始 为 客户 端 提供 身份 验证 和 记 账 ,将 交换 机 配 
置 为 ACS 客户 端 ,在 ACS 服务 器 上 对 用 户 账 户 或 组 进行 授权 。 当 用 户 远程 登录 交换 机 进 
行 管理 时 ,将 只 能 运行 授权 的 命令 并 自动 记 账 , 非 授权 命令 将 无 法 运行 。 下 面 以 使 用 ACS 
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服务 器 对 15 级 用 户 的 操作 命令 作 授 权 为 例 进行 介绍 。 
8.3.1 配置 交换 机 


在 配置 为 ACS 客户 端的 交换 机 上 执行 如 下 操作 , 即 可 配置 为 使 用 ACS 服务 器 认证 和 
记 账 ,为 客户 端的 操作 进行 授权 。 
(1) 进入 全 局 配置 模式 。 


HJ-3750# configure terminal 
(2) 启用 交换 机 的 AAA。 
HJ-3750(config)# aaa new-model 


(3) 指定 用 户 账户 登录 授权 。 授 权 方 式 默认 为 使 用 ACS 服务 器 的 TACACS 十 身份 验 
证 方式 ,如 果 失 败 则 使 用 本 地 数据 库 进行 身份 验证 。 


HJ-3750(config) # aaa authentication login default group tacacs 十 local 
(4) 指定 命令 行 模式 进行 授权 ,采用 的 授权 方式 同上 。 
HJ-3750(config) # aaa authorization exec default group tacacs 十 local 

(5) 指定 对 15 级 用 户 的 命令 行进 行 授权 ,采用 的 授权 方式 同上 。 
HJ-3750(config) # aaa authorization commands 15 default group tacacs 十 local 
(6) 指定 授权 服务 器 的 地 址 , 即 ACS 服务 器 的 IP 地 址 。 
HJ-3750(config) # tacacs-server host 192.168.100.3 

(7) 指定 客户 端 与 ACS 服务 器 通信 时 使 用 的 共享 密 钥 。 
HJ-3750(config) # tacacs-server key cisco 

(8) 返回 特权 模式 。 

HJ-3750Cconfig-if) # end 

(9) 保存 配置 。 


HJ-3750# copy running-config startup-config 


8.3.2 配置 ACS 服务 器 


ACS 默认 对 show running-config configure terminal 命令 不 作 授权 ,下 面 通过 自 定义 
命令 集 对 user2 用 户 作 configure terminal 的 命令 授权 。 

(1) 创建 自 定义 命令 集 并 应 用 到 user2 用 户 账户 ,如 图 8-29 所 示 。 在 user2 的 用 户 账 
户 配置 窗口 中 ,选中 Assign a Shell Command Authorization Set for any network device 单 
选 按钮 ,并 在 其 下 拉 列 表 框 中 选择 创建 好 的 list 命令 集 。 命 令 集中 命令 的 编辑 方式 可 参考 
前 面相 关内 容 , 此 处 不 再 缆 述 。 

(2) 单 击 Submit 按钮 ,保存 配置 。 


过 
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图 8-29 ”创建 自 定义 命令 集 并 应 用 到 user2 用 户 账户 


8.3.3 用户 登录 测试 


下 面 分 别 使 用 userl 和 user2 用 户 账 户 远程 登录 交换 机 ,测试 授权 结果 。 前 面 所 作 配 置 
中 授予 user2 运行 configure terminal 的 权限 ,而 userl 未 作 任 何 授权 。 

(1) 以 telnet 方式 登录 IP 地 址 为 172. 16. 100. 2 的 交换 机 ,由 于 启用 了 用 户 登录 授权 ， 
所 以 会 提示 输入 用 户 名 和 密码 ,如 图 8-30 所 示 。 默 认 情 况 下 ,以 telnet 方式 登录 是 不 需要 
用 户 名 和 密码 的 。 
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ul 


Hi 4506# 
He 4506# 
Hx 4506# 
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Ht 4506# 
He 4506# 
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HK- 4506# 
Hx 4506# 
Ht 4506# 
Hx 4506# 
Hx 4506# 
HK- 4506# 
HK- 4506# 
EX- 4506# 
EX- 4506# 
Ht 4506# 
Ht 4506# 
HX- 4506#telnet 172.16.100.2 
Trying 172.16.100.2 ... Open 
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8-30 ”用户 登录 授权 已 启用 


(2) 以 userl 账户 登录 ,输入 enable 命令 进入 全 局 配置 模式 ,输入 show running-config 
命令 并 运行 ,提示 Command authorization failed, 即 命令 行 认证 失败 ,当前 用 户 未 被 授权 运 
行 该 命令 。 继 续 输入 configure terminal 命令 并 运行 ,结果 相同 ,如 图 8-31 所 示 。 
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rying 172.16.100.2 ... Open 


User Access Verification 


Usernane: userl 
password: 


HI-3750>en 
password: 

0-37S04ahow running-congtg 
Command suthorization Failed 


HI-3750#configure terminal 
Command authorization failed. 


HJ-3750# 
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图 8-31 userl 账户 未 被 授予 操作 任何 命令 的 权限 


(3) 使 用 user2 账户 登录 该 交换 机 ,同样 进入 全 局 配置 模式 ,输入 并 运行 show running- 
config 命令 时 ,提示 命令 行 未 被 授权 ; 输入 并 运行 configure terminal 命令 时 ,命令 成 功 运 
行 ,如 图 8-32 所 示 ,说 明 user2 账户 被 授予 运行 configure terminal 命令 的 权限 ,操作 成 功 。 


CIE] 


QI 
He 4506#telnet 172.16.100.2 =- 


Trying 172.16.100.2 ... Open 


Username: user2 
Password 


HJ-3750>en 
Pasaword: 

HJ-3750#show running-config 
Command authorization failed. 


HI-3750#configure terminal 
Enter configuration conmands, one per line. Bnd with CNTL/Z, 
HJ-3750 (config) # 


HJ-3750 (config)# 


Wak err i 
图 8-32 user2 账户 成 功 运行 被 授权 的 命令 


8.3.4 知识 链接 : ACS 


1. CiscoSecure ACS 

NAC 是 Cisco 公司 推出 的 网 络 访问 控制 技术 ,可 以 使 用 网 络 基础 设施 迫使 企图 访问 网 
络 计算 资源 的 所 有 设备 遵守 安全 策略 ,进而 防止 病毒 和 蠕虫 造成 损失 。 而 CiscoSecure 
ACS 又 是 Cisco NAC 架构 的 重要 组 件 ,是 具有 高 可 扩展 性 的 高 性 能 访问 控制 服务 器 ,可 作 
为 集中 的 RADIUS 和 TACACS 十 服务 器 运行 。 

CiscoSecure ACS 将 验证 ,用 户 访问 和 管理 员 访 问 与 策略 控制 结合 在 一 个 集中 的 身份 
识别 网 络 解决 方案 中 ,因此 提高 了 灵活 性 、 移 动 性 .安全 性 和 用 户 生 产 率 ,从 而 进一步 增强 了 
访问 安全 性 。 它 针对 所 有 用 户 执行 统一 安全 策略 ,不 受用 户 网 络 访问 方式 的 影响 ,减轻 了 与 
扩展 用 户 和 网 络 管理 员 访 问 权限 相关 的 管理 负担 。 通 过 对 所 有 用 户 账 户 使 用 一 个 集中 数据 
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库 ,CiscoSecure ACS 可 集中 控制 所 有 的 用 户 权限 并 将 其 分 配 到 网 络 中 的 几 百 甚至 几 千 个 
接 人 点 。 对 于 记 账 服务 ,CiscoSecure ACS 针对 网 络 用 户 的 行为 提供 具体 的 报告 和 监控 功 
能 ,并 记录 整个 网 络 上 每 次 的 访问 连接 和 设备 配置 变化 。CiscoSecure ACS 支持 广泛 的 访 
问 连 接 , 包 括 有 线 和 无 线 局 域 网 、 宽 带 、 内 容 、 存 储 、VoIP、 防 火 墙 和 VPN 等 。 

CiscoSecure ACS 是 功能 强大 的 访问 控制 服务 器 ,为 正在 增加 其 WAN 或 LAN 连接 的 
机 构 提 供 了 许多 高 性 能 和 可 扩展 性 特性 。 表 8-1 显示 了 CiscoSecure ACS 的 主要 优势 。 


表 8-1 CiscoSecure ACS 的 主要 优势 


优势 描 述 
易 用 性 基于 Web 的 用 户 界面 可 简化 并 分 发 用 户 资料 组 资料 和 CiscoSecure ACS 的 配置 
可 扩展 性 CiscoSecure ACS 可 通过 支持 宛 余 服务 器 .远程 数据 库 以 及 数据 库 复制 和 备份 服务 
来 支持 大 型 网 络 环境 
可 扩容 性 轻型 目录 访问 协议 (LDAP) 验 证 转发 功能 支持 对 著名 目录 供应 商 保存 在 目录 中 的 
用 户 资料 进行 验证 ,包括 Sun、Novell 和 Microsoft 等 
Windows Active Directory 支持 结合 了 Windows 用 户 名 和 密码 管理 功能 ,并 使 用 
管理 Windows Performance Monitor 来 查看 实时 统计 数据 
为 每 个 CiscoSecure ACS 管理 员 分 配 不 同 的 访问 权限 ,以 及 对 网 络 设备 进行 分 组 的 
系统 管理 能 力 , 可 以 更 轻松 地 控制 网 络 访问 并 最 大 限度 地 提高 灵活 性 ,从 而 方便 地 对 网 络 中 
的 所 有 设备 执行 并 更 改 安全 策略 
Cisco IOS 软件 内 内 了 对 于 AAA 的 支持 ,因此 ,CiscoSecure ACS 几乎 能 在 思科 销 
产品 灵活 性 售 的 任何 网 络 接 入 服务 器 上 使 用 (Cisco IOS 软件 版 本 必须 支持 RADIUS 或 
TACACS+) 
集成 与 Cisco IOS 路 由 器 和 VPN 解决 方案 紧密 集成 ,提供 了 多 机 箱 多 链 路 点 到 点 协议 
(PPP) 和 Cisco IOS 软件 命令 授权 等 特性 
第 三 方 支持 CiscoSecure ACS 为 提供 满足 RFC 要 求 的 RADIUS 接口 (如 RSA、PassGo、 安 全 计 
算 、ActiveCard、Vasco 或 CryptoCard) 的 所 有 OTP 供应 商 提供 令 牌 服务 器 支持 
控制 CiscoSecure ACS 为 一 天 中 的 时 间 点 、 网 络 使 用 、 登 录 的 会 话 数量 和 一 周 中 每 天 的 
访问 限制 提供 动态 配额 
2. ACS 应 用 环境 


基于 Windows 系统 服务 器 的 CiscoSecure ACS 服务 器 适用 于 如 下 需求 环境 。 
(1) 集中 控制 用 户 通 过 有 线 或 者 无 线 连接 登录 网 络 。 

(2) 设置 每 个 网 络 用 户 的 权限 。 

(3) 记录 记 账 信息 ,包括 安全 审查 或 者 用 户 记 账 。 

(4) 设置 每 个 配置 管理 员 的 访问 权限 和 控制 指令 。 

(5) 用 于 Aironet 密 钥 重 设置 的 虚拟 VSA。 

(6) 安全 的 服务 器 权限 和 加 密 。 

(7) 通过 动态 端口 分 配 简 化 防火 墙 接 入 和 控制 。 

(8) 统一 的 用 户 AAA 服务 。 


8.4 基于 ACS 的 802. 1x 认证 


IEEE 802. 1x 身份 验证 用 于 对 有 线 以 太 网 和 无 线 IEEE 802. 11 网 络 进行 经 过 身份 验证 
的 网 络 访问 。IEEE 802. 1x 通过 提供 对 集中 式 用 户 标识 、 身 份 验证 动态 密 钥 管理 和 记 账 的 


第 6 章 局 域 网 接 人 变 全 认证 


支持 来 提高 安全 性 和 部 署 ,执行 基于 端口 的 网 络 访问 控制 。 基 于 端口 的 网 络 访问 控制 使 用 
局 域 网 基础 设施 的 物理 特征 来 验证 连接 到 LAN 端口 的 设备 ,并 防止 访问 身份 验证 进程 已 
经 失败 的 那个 端口 。 


8.4.1 交换 机 的 802. 1x 认证 


若 欲 实现 IEEE 802. 1x 认证 ,必须 在 Cisco 交换 机 上 作 必 要 的 配置 ,启用 802. 1x 身份 
验证 功能 。 目 前 ,企业 网 络 中 已 经 部 署 了 ACS 服务 器 ,因此 可 以 使 用 ACS 服务 器 为 交换 机 
进行 身份 验证 。 

1. 交换 机 的 配置 

执行 如 下 操作 , 即 可 在 交换 机 上 启用 IEEE 802. 1x 认证 ,实现 用 户 登 录 认 证 。 

(1) 进入 全 局 配置 模式 。 

JR-2960-1# configure terminal 

(2) 启用 AAA。 


JR-2960-1(config) # aaa new-model 


(3) 创建 IEEE 802. 1x AAA 认证 方式 列表 。 如 果 在 认证 命令 中 没有 指定 列表 名 称 ,将 
创建 并 使 用 一 个 默认 列表 。 默 认 情 形 下 ,将 使 用 认证 方式 后 的 默认 关键 字 。 默 认 认 证 方式 
自动 应 用 于 所 有 接口 。 输 入 下 列 至 少 一 个 关键 字 , group radius 使 用 列表 中 所 有 的 
RADIUS 服务 器 认证 ; none 不 认证 ,客户 端 自动 通过 交换 机 认证 ,而 无 须 使 用 客户 端 支持 
信息 。 


JR-2960-1(config) # aaa authentication dotlx default group radius local 
(4) 指定 提供 AAA 服务 的 服务 器 , 即 ACS 服务 器 。 
JR-2960-1(config)# radius-server host 192.168.100.3 


(5) 指定 与 ACS 服务 器 通信 时 使 用 的 共享 密 钥 ,必须 与 ACS 服务 器 端的 设置 完全 相 
同 , 这 里 使 用 cisco。 


JR-2960-1(config) # radius-server key cisco 
(6) 在 交换 机 上 启用 IEEE 802. 1x 认证 。 
JR-2960-1(config)# dotlx system-auth-control 
(7) 指定 欲 启用 IEEE 802. 1x 认证 的 端口 。 
JR-2960-1(config) # interface fastEthernet 0/6 
(8) 在 该 端口 启用 802. 1x 认证 。 
JR-2960-1(config-if)# dotlx port-control auto 


(9) 指定 向 用 户 计算 机 发 送 802. 1x 身份 验证 信息 的 周期 为 45 秒 。 


JR-2960-1(config-if) # dotlx timeout reauth-period 45 
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(10) 返回 特权 模式 。 

JR-2960-1(config-if) # end 

(11) 查看 配置 是 否 正 确 。 

JR-2960-1# show dotlx 

(12) 保存 配置 。 

JR-2960-1# copy running-config startup-config 

提示 : 若 欲 在 多 个 端口 启用 IEEE 802. 1x 认证 ,应 当 重 复 指定 端口 和 启用 认证 的 操作 ， 
或 者 将 相同 配置 的 端口 设置 为 一 个 端口 组 ,然后 配置 该 端口 组 。 

2. ACS 服务 器 的 配置 

使 用 ACS 服务 器 为 交换 机 提供 身份 验证 功能 之 前 ,必须 将 交换 机 配置 为 ACS 客户 端 ， 
并 为 用 户 账户 或 组 授权 。 

(1) 在 ACS 管理 窗口 中 , 单 击 Network Configuration 按钮 ,可 以 管理 现 有 ACS 客户 端 
或 添加 客户 端 。 默 认 情况 下 ,ACS 服务 器 没有 任何 客户 端 。 在 Network Device Group 选项 
区 域内 单 击 Add Entry 按钮 ,显示 如 图 8-33 所 示 的 New Network Device Group 窗口 。 在 
Network Device Group Name 文本 框 中 输入 客户 端 组 名 ,如 coolpen。 


8-33 Net Network Device Group 窗口 


(2) 单 击 Submit 按钮 ,保存 设置 并 返回 Network Configuration 窗口 ,coolpen 就 是 成 
功 创建 的 客户 端 组 ,如 图 8-34 所 示 。 

(3) 单 击 coolpen 链接 , 显示 如 图 8-35 所 示 的 窗口 ,默认 情况 下 该 组 中 没有 任何 客 
户 端 。 

(4) 在 coolpen AAA Clients 选项 区 域内 单 击 Add Entry 按钮 ,显示 如 图 8-36 所 示 的 
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图 8-35 配置 客户 端 组 


Add AAA Client 窗口 。 在 AAA Client Hostname 文本 框 中 ,输入 交换 机 的 主机 名 ; 在 
AAA Client IP Address 文本 框 中 输入 交换 机 的 IP 地 址 ; 在 Shared Secret 文本 框 中 输入 密 
钥 ( 必 须 与 交换 机 上 使 用 的 共享 密 钥 相同 ); 在 Network Device Group 下 拉 列 表 框 中 选择 
添加 到 的 客户 端 组 ,这 里 选择 coolpen, 上 默认 情况 下 是 未 指派 的 。 

(5) 设置 身份 验证 方式 。 在 Authenticate Using 下 拉 列 表 框 中 选择 RADIUS(IETF) 
选项 ,选中 Log Update/ Watchdog Packets from this AAA Client 复 选 框 ,记录 来 自 AAA 
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图 8-36 Add AAA Client 窗口 


客户 端的 所 有 数据 包 , 以 便 管 理 员 随 时 查看 用 户 登录 情况 ,如 图 8-37 所 示 。 此 处 选择 的 身 
份 验证 方式 必须 与 交换 机 端 完全 相同 , 即 同时 选择 RADIUS 身份 验证 方式 。RADIUS 几乎 
是 用 于 所 有 类 型 的 网 络 设备 ,而 TACACS 十 仅 适 用 于 运行 Cisco IOS 的 网 络 设备 ,这 里 选择 
的 RADIUS(IETF) 是 互联 网 领域 通用 的 RADIUS 身份 验证 技术 。 
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图 8-37 设置 身份 验证 方式 
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(6) 单 击 Submit 十 Apply 按钮 ,保存 设置 并 返回 Network Configuration 窗口 ,JR-2960 
就 是 刚刚 创建 的 AAA 客户 端 ,如 图 8-38 所 示 。 
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图 8-38 成功 创建 AAA 客户 端 


(7) 在 coolpen AAA Servers 选项 区 域内 单 击 Add Entry 按钮 ,显示 如 图 8-39 所 示 的 
Add AAA Server 窗口 。 在 AAA Server Name 文 本 框 中 输入 AAA 服务 器 的 名 称 , 即 ACS 
服务 器 的 名 称 ; 在 AAA Server IP Address 文本 框 中 输入 ACS 服务 器 的 IP 地 址 ; 在 Key 
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文本 框 中 输入 与 交换 机 端 配 置 完 全 相同 的 共享 密 钥 ; 在 AAA Server Type 下 拉 列 表 框 中 
选择 RADIUS 选项 ; 在 Traffic Type 下 拉 列 表 框 中 选择 inbound/outbound 选项 ; 保留 默 
认 的 通信 端口 设置 即 可 。 

(8) 单 击 Submit 十 Apply 按钮 ,保存 设置 。 

3. 用 户 计算 机 配置 

用 户 计算 机 的 配置 步骤 如 下 。 

(1) 启动 802. 1x 身份 验证 客户 端 功能 。 打 开 * 服 务 窗 口 , 右 击 Wired AutoConfig 服务 并 
选择 快捷 菜单 中 的 “启动 ”命令 ,启动 该 服务 ,如 图 8-40 所 示 。 如 果 和 希望 此 服务 随 系统 自动 启 
动 , 则 可 以 将 其 启动 类 型 修改 为 “自动 "另外 ,还 要 确保 Extensible Authentication 
Protocol 服务 处 于 “启动 ”状态 。 

(2) 打开 “网 络 连 接 ” 窗 口 , 右 击 正在 使 用 的 本 地 连接 (例如 “本 地 连接 ”) 并 选择 快捷 菜 
单 中 的 “属性 ”命令 ,显示 “本 地 连接 属性 对话 框 , 单 击 * 身 份 验证 ?标签 切换 到 如 图 8-41 所 
示 的 “身份 验证 ”选项 卡 。 选 中 “启用 IEEE 802. 1x 身份 验证 ”和 “缓存 用 户 信 息 以 便 随后 连 
接 网 络 使 用 ” 复 选 框 。 
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(3) 单 击 “ 确 定 ” 按 钮 ,保存 配置 。 

4. 登录 测试 

(1) 网 络 用 户 完成 计算 机 配置 之 后 , 即 可 开始 向 交换 机 发 送 身份 验证 请 求 ,任务 栏 中 的 
图 标 显 示 如 图 8-42 所 示 的 状态 ,配置 802. 1x 身份 验证 之 前 ,网 络 连接 是 断 开 的 。 

(2) 当 任 务 栏 显示 “需要 其 他 信息 以 连接 到 网 络 "提示 NV 
信息 时 , 单 击 提示 信息 显示 如 图 8-43 所 示 的 “输入 凭据 ”对 
话 框 。 输 入 被 ACS 服务 器 授予 访问 权限 的 用 户 账户 和 密 图 842 尝试 连接 到 网 络 
码 , 例 如 user。 

(3) 单 击 “确定 ”按钮 ,向 交换 机 发 送 身份 验证 信息 ,交换 机 将 身份 验证 请 求 转发 到 ACS 
服务 器 ,如 果 通过 ACS 服务 器 身份 验证 , 则 成 功 建立 网 络 连 接 , 任 务 栏 中 的 图 标 显示 如 图 8-44 
所 示 的 状态 。 


© 
。 图 
第 8 章 ”局 域 网 接 入 安全 认证 。 253 


en 


EU 
P| i CE EA EE 
图 8-43 “输入 凭据 "对 话 框 图 8-44 成功 连 接 到 网 络 


8.4.2 无 线 AP 的 802. 1x 认证 

通过 为 无 线 AP 配置 802. 1x 身份 验证 ,可 以 对 通过 无 线 AP 接 入 企业 网 络 的 用 户 计 算 
机 进行 身份 验证 ,以 确认 是 否 允 许 其 访问 网 络 。 无 线 客户 端 尝试 访问 无 线 AP 时 ,首先 无 线 
AP 会 将 用 户 提 交 的 身份 验证 信息 发 送 到 网 络 中 的 ACS 服务 器 ,然后 由 ACS 服务 器 根据 用 
户 账户 赋予 用 户 对 应 的 权限 。 

1. 无 线 AP 的 配置 

(1) 初始 化 无 线 AP 

为 了 便于 配置 和 管理 无 线 AP, 首 先 应 为 无 线 AP 配置 主机 名 、IP 地 址 和 子 网 掩 码 等 
信息 。 

J 进入 全 局 配置 模式 。 

ap# configure terminal 

@ 设置 无 线 AP 的 主机 名 。 

ap(config) # hostname AP 

@ 指定 要 配置 的 接口 。 

AP(config) # interface fastEthernet 0 

@ 设置 接口 的 IP 地 址 和 子 网 掩 码 。 

AP(config-if) # ip address 192.168.4.253 255.255.255.0 

名 启用 该 端口 。 

AP(config-if) # no shutdown 

退出 接口 配置 模式 。 

AP(config-if) # exit 

@ 设置 管理 员 账 户 ,包括 用 户 名 、 密 码 、 权 限 级 别 等 ,用 于 Web 管理 。 

AP(config) # username cisco privilege 15 password cisco 


@ 启用 Web 管理 方式 。 
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AP(config) # ip http server 


@ 指定 http 连接 授权 方式 。 


AP(config) # ip http authentication local 
@ 进入 接口 配置 模式 。 

AP(config) # interface dotllRadio 0 

@ 启用 端口 。 


AP(config-if) # no shutdown 


(2) 使 用 Web 方式 配置 无 线 AP 
使 用 Web 方式 配置 无 线 AP 的 操作 步骤 如 下 。 


@ 在 正 浏 览 器 地 址 栏 中 输入 无 线 AP 的 管理 地 址 192. 168. 4. 253, 显 示 如 图 8-45 所 


示 的 “连接 到 192. 168. 4. 253” 对 话 框 ,输入 初始 化 时 创建 的 用 户 账户 和 密码 。 


@ 单 击 “ 确 定 ” 按 钮 ,打开 无 线 AP 的 Web 管理 窗口 , 单 击 EXPRESS SECURITY 链 
接 , 显 示 如 图 8-46 所 示 的 Express Security Set-Up 窗口 。 在 SSID 文 本 框 中 输入 无 线 网 络 
的 SSID 名 称 ,在 Security 选项 区 域内 选中 EAP Authentication 单 选 按钮 ,输入 RADIUS 
服务 器 的 名 称 和 共享 密 钥 ,这 里 使 用 ACS 服务 器 作 认 证 ,输入 ACS 服务 器 的 IP 地 址 和 预 
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8-45 “连接 到 192. 168. 4. 253” 对 话 框 


定 的 共享 密 钥 即 可 。 


@ 单 击 窗口 下 方 的 Apply 按钮 ,显示 如 图 8-47 所 示 的 对 话 框 , 单 击 “ 确 定 ” 按 钮 即 可 保 


存 设置 。 


2. ACS 服务 器 的 配置 


在 ACS 服务 器 上 ,首先 应 将 无 线 AP 配置 为 ACS 客户 端 ,然后 配置 网 络 用 户 连 接 到 网 


络 的 用 户 账户 信息 。 
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图 8-46 Express Security Set-Up 窗口 


8-47 是 否 保存 当前 设置 


(1) 在 ACS 管理 窗口 中 , 单 击 Network Configuration 按钮 ,显示 如 图 8-48 所 示 的 窗 
口 , 创 建 ACS 客户 端 组 或 者 选择 已 有 客户 端 组 ,这 里 选择 在 原 有 的 coolpen 组 中 创建 ACS 
客户 端 。 在 Network Device Group 选项 区 域内 单 击 coolpen 组 ,显示 coolpen AAA Clients 


窗口 。 


图 8-48 选择 ACS 客户 端 组 


(2) 单 击 Add Entry 按钮 ,显示 如 图 8-49 所 示 的 Add AAA Client 窗口 ,在 AAA 
Client Hostname 文本 框 中 输入 无 线 AP 的 主机 名 ,在 AAA Client IP Address 文本 框 中 输 
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和 人 无线 AP 的 IP 地 址 ,在 Shared Secret 文本 框 中 输入 共享 密 钥 (必须 与 无 线 AP 的 配置 完 


全 相同 ) ,在 Network Device Group 下 拉 列 表 框 中 选择 将 该 客户 端 指定 到 的 分 组 ,选择 
coolpen 选项 即 可 。 
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(3) 设置 身份 验证 方式 。 向 下 拖 动 滚动 条 ,在 Authenticate Using 下 拉 列 表 框 中 选择 
RADIUS (Cisco Aironet) 选 项 ,同时 选中 Log Update/Watchdog Packets from this AAA 
Client 复 选 框 ,记录 来 自 AAA 客户 端的 所 有 数据 包 , 以 便 管 理 员 随时 查看 用 户 登 录 情 况 ， 
如 图 8-50 所 示 。 
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C ASCI! © Hexadecimal 


Authenticate 
Using 


[RADIUS (Cisco Aronet) “可 


Single Connect TACACS+ AAA Chient (Record stop in accounti 
on failure) 


区 Log Update/Watchdog Packets from this AAA Client 
[Log RADIUS Tunneling packets from this AAA client 
记 peplace RADIUS Port info with Username from this AAA client 


Match Framed-IP-address with user tp address for accountin( 
packets from this AAA Client 


Submit + Apply | _Cancel 


| 
FT 人 TT Te 


图 8-50 设置 身份 验证 方式 
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(4) 单 击 Submit 十 Apply 按钮 保存 设置 。 接 下 来 还 要 设置 用 户 账户 和 密码 ,与 “基于 
ACS 的 基本 认证 ”中 的 配置 基本 相同 ,此 处 不 再 蓝 述 。 

3. 用 户 计算 机 配置 

客户 端 计算 机 默认 并 未 启用 802. 1x 身份 验证 功能 , 若 想 连接 到 启用 802. 1x 身份 验证 
的 无 线 AP, 必 须 进 行 如 下 配置 。 

(1) 在 “网 络 连接 ”窗口 中 , 右 击 “无 线 网 络 连 接 " 并 选择 快捷 菜单 中 的 “属性 ”命令 ,显示 
如 图 8-51 所 示 的 “无 线 网 络 连 接 属性 ”对 话 框 ,切换 到 “无 线 网 络 配 置 ”选项 卡 。 

(2) 单 击 “ 查 看 无 线 网 络 ”" 按 钮 ,显示 如 图 8-52 所 示 的 “无 线 网 络 属性 ”对 话 框 ,在 “ 关 
联 ? 选 项 卡 中 ,输入 无 线 网 络 的 SSID 名 称 , 必 须 与 无 线 AP 的 配置 完全 相同 。 


了 ad 


EE 
| a mE | | 
克 用 Wisdevs 有 FS ED) 咱 
A 无 做 网 络 裤 轩 
en: 中 此 网 结 要 各 下 列 定 钥 - 
者 天 机 a 证) 
EBU a 送 
一 一 ssle wg 厂 习 
| | 和 
了 荐 设置 无 规 同 壤 甩 置 。 中 | We erm ne 
= = 
图 8-51 “无 线 网 络 连接 属性 ?对 话 框 图 8-52 “无 线 网 络 属性 ”对 话 框 


(3) 单 击 “验证 ?标签 ,切换 到 如 图 8-53 所 示 的 “验证 ”选项 卡 ,选中 “启用 此 网 络 的 
IEEE 802. 1x 验证 " 复 选 框 ,在 *“EAP 类 型 ”下拉 列 表 框 中 选择 * 受 保护 的 EAP(PEAP)” 选 
项 ,必须 与 无 线 AP 的 配置 完全 相同 ,取消 * 当 计算 机 信息 可 用 时 验证 为 计算 机 ?” 复 选 框 。 

(4) 单 击 “ 属 性 ”按钮 ,显示 如 图 8-54 所 示 的 “ 受 保护 的 EAP 属性 ”对 话 框 ,取消 “验证 
服务 器 证 书 " 复 选 框 ,在 “选择 验证 方法 "下拉 列 表 框 中 选择 “安全 密码 (EAP-MSCHAP 
V2)” 选 项 。 


ETI 2 


图 8-53 “验证 ”选项 卡 图 8-54 “ 受 保护 的 EAP 属性 ”对 话 框 


(5) 单 击 “ 配 置 ?按钮 ,显示 如 图 8-55 所 示 的 “EAP MSCHAPv2 属性 ”对 话 框 ,取消 “ 自 
动 使 用 Windows 登录 名 和 密码 (以 及 域 , 如 果 有 的 话 )” 复 选 框 。 
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4. 登录 测试 
登录 测试 的 具体 操作 步骤 如 下 。 


(1) 用 户 计算 机 完成 基本 配置 后 ,任务 栏 中 的 无 线 网 络 连接 将 提示 如 图 8-56 所 示 的 信 
息 , 要 求 提供 凭据 才 可 以 连接 到 指定 的 无 线 网 络 。 


1 无线 网 络 连 接 区 
单 击 此 处 六 择 这 接 到 网 络 的 证 书本 其 它 先 才 test 


图 8-55 “EAP MSCHAPv2 属性 ”对 话 框 图 8-56 ”提示 需要 凭据 


(2) 单 击 提示 信息 ,显示 如 图 8-57 所 示 的 “输入 凭据 ”对 话 框 ,输入 用 户 名 和 密码 , 单 击 
“确定 ”按钮 ,将 用 户 信息 发 送 到 无 线 AP, 无 线 AP 将 身份 验证 信息 发 送 到 ACS 服务 器 进行 
身份 验证 。 

(3) 成 功 连接 到 无 线 AP 后 ,显示 如 图 8-58 所 示 的 对 话 框 ,test 就 是 启用 802. 1x 身份 
验证 的 无 线 AP。 


ES | 


| 
Windows 正在 连 搜 到 “tesY 网 络 ， 请 稍 伟 。 
EE 
Ce ww ma] CJ 
图 8-57 “输入 凭据 ”对 话 框 图 8-58 成功 连接 到 无 线 AP 


8.4.3 知识 链接 : IEEE 802. 1x 


以 太 网 技术 “连通 和 共享 "的 设计 初衷 使 目前 由 以 太 网 构成 的 网 络 系统 面临 着 很 多 安全 
问题 。IEEE 802. 1x 协议 正 是 在 基于 这 样 的 背景 
下 被 提出 来 的 ,成 为 解决 局 域 网 安全 问题 的 一 个 
<S 


有 效 手 段 。 

在 IEEE 802. 1x 协议 中 ,只 有 具备 了 以 下 3 个 
元 素 ( 如 图 8-59 所 示 ) 才 能 够 完成 基于 端口 的 访问 
控制 的 用 户 认证 和 授权 。 

(1) 客户 端 。 一 般 安装 在 用 户 的 工作 站 上 , 当 
用 户 有 上 网 需求 时 ,激活 客户 端 程序 ,输入 必要 的 
用 户 名 和 口令 ,客户 端 程序 将 会 送出 连接 请 求 。 图 8-59 IEEE 802. 1x 协议 认证 三 要 素 


认证 系统 


认证 服务 器 
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(2) 认证 系统 。 在 以 太 网 系统 中 指认 证 交换 机 ,其 主要 作用 是 完成 用 户 认 证 信息 的 上 
传 、 下 达 工 作 , 并 根据 认证 的 结果 打开 或 关闭 端口 。 

(3) 认证 服务 器 。 通 过 检验 客户 端 发 送 来 的 身份 标识 (用 户 名 和 口令 ) 来 判别 用 户 是 否 
有 权 使 用 网 络 系统 提供 的 网 络 服务 ,并 根据 认证 结果 向 交换 机 发 出 打开 或 保持 端口 关闭 的 

在 具有 802. 1x 认证 功能 的 网 络 系统 中 , 当 一 个 用 户 需要 对 网 络 资源 进行 访问 之 前 必须 
先 要 完成 以 下 认证 过 程 (如 图 8-60 所 示 ) 。 


Client Catalyst 4500 Network 
Workstation Access Swithch RADIUS 


PS 


EAP-Request/ldentity 
EAP-Response/Identity ~| RADIUS Access-Request 。| 
EAP-Response/OTP | RADIUS Access-Challenge 
EAP-Response/OTP ~| RADIUS Access-Request 。| 
EAP-Success 本 RADIUS Access-Accept 


Port Authorized 
EAPOL-Logoff 


Port Unauthorized 


Supplicant Authenticator Authentication 
server 


图 8-60 ”802.1x 认 证 过 程 


(1) 当 用 户 有 上 网 需求 时 打开 802. 1x 客户 端 程序 ,输入 已 经 申请 、 登 记过 的 用 户 名 和 
口令 ,发 起 连接 请 求 。 此 时 ,客户 端 程序 将 发 出 请 求 认 证 的 报 文 给 交换 机 ,开始 启动 一 次 认 

(2) 交换 机 收 到 请 求 认 证 的 数据 帧 后 ,将 发 出 一 个 请 求 帧 要 求 用 户 的 客户 端 程序 将 输 
和 的 用 户 名 送 上 来 。 

(3) 客户 端 程序 响应 交换 机 发 出 的 请 求 , 将 用 户 名 信息 通过 数据 帧 送 给 交换 机 。 交 换 
机 将 客户 端 送 上 来 的 数据 帧 经 过 封包 处 理 后 送 给 认证 服务 器 进行 处 理 。 

(4) 认证 服务 器 收 到 交换 机 转发 上 来 的 用 户 名 信息 后 ,将 该 信息 与 数据 库 中 的 用 户 名 
表 相 比 对 ,找到 该 用 户 名 对 应 的 口令 信息 ,用 随机 生成 的 一 个 加 密 字 对 它 进行 加 密 处 理 , 同 
时 也 将 此 加 密 字 传送 给 交换 机 ,由 交换 机 传 给 客户 端 程序 。 

(5) 客户 端 程序 收 到 由 交换 机 传 来 的 加 密 字 后 ,用 该 加 密 字 对 口令 部 分 进行 加 密 处 理 
(此 种 加 密 算 法 通常 是 不 可 逆 的 ) ,并 通过 交换 机 传 给 认证 服务 器 。 

(6) 认证 服务 器 将 送 上 来 的 加 密 后 的 口令 信息 和 自己 经 过 加 密 运 算 后 的 口令 信息 进行 
对 比 , 如 果 相 同 , 则 认为 该 用 户 为 合法 用 户 , 反 馈 认 证 通过 的 消息 ,并 向 交换 机 发 出 打开 端口 
的 命令 ,允许 用 户 的 业务 流通 过 端口 访问 网 络 。 否 则 ,反馈 认证 失败 的 消息 ,并 保持 交换 机 
端口 的 关闭 状态 ,只 允许 认证 信息 数据 通过 而 不 允许 业务 数据 通过 。 


晤 
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习题 


。 简 述 CiscoSecure ACS 的 主要 应 用 环境 。 

.CiscoSecure ACS 服务 器 的 功能 有 哪些 ? 

基于 Active Directory 的 ACS 服务 器 相对 于 其 他 方式 有 哪些 优点 ? 
.什么 是 802. 1x 身份 验证 ? 

. 简 述 802. 1x 身份 验证 的 实现 机 制 。 


am 证 


实验 : 借助 ACS 实现 交换 机 802. 1x 身份 验证 


实验 目的 : 

运用 CiscoSecure ACS 十 Active Directory 实现 802. 1x 身份 验证 。 

实验 内 容 : 

使 用 CiscoSecure ACS 与 Windows Server 2008 系统 的 Active Directory 相 结 合 , 为 交 


换 机 实现 802. 1x 身份 验证 。 


实验 步骤 : 
(1) 准备 CiscoSecure ACS 所 需 的 网 络 环境 ,将 ACS 服务 器 及 其 所 需 的 其 他 成 员 服 务 


器 和 客户 端 连接 在 交换 机 上 ,组 成 一 个 子 网 ,并 测试 彼此 之 间 的 连通 性 。 


(2) 部 署 ACS 服务 器 。 

(3) 在 域 控制 器 上 创建 用 于 测试 的 用 户 账户 和 组 。 

(4) 建立 ACS 服务 器 和 域 控制 器 之 间 的 关联 。 

(5) 将 交换 机 配置 ACS 服务 器 的 AAA 客户 端 。 

(6) 登录 交换 机 并 启用 其 802. 1x 身份 验证 功能 ,建立 其 到 ACS 服务 器 的 连接 。 
(7) 在 ACS 服务 器 上 为 测试 用 户 账户 授权 ,配置 允许 其 运行 的 管理 命令 。 

(8) 在 客户 端 计算 机 上 尝试 Telnet 登录 交换 机 ,验证 配置 是 否 生 效 。 


Internet 接 入 安全 


网 络 防火 墙 是 企业 网 络 必 不 可 少 的 安全 防御 措施 ,例如 部 署 在 局 域 网 出 口 处 的 Cisco 
ASA 5540、 客 户 端 计算 机 的 Windows 防火 墙 等 。 美 中 不 足 的 是 ,这 些 防火 墙 缺少 统一 的 管 
理 机 制 , 很 难 实现 服务 器 和 客户 端 之 间 的 协同 工作 。Forefront TMG(Threat Management 
Gateway) 是 Microsoft Forefront 系列 中 的 产品 之 一 ,是 ISA Server 的 升级 版 本 。Forefront 
TMG 不 仅 提 供 分 布 式 防火 墙 功能 ,而 且 还 提供 代理 服务 器 和 Web 缓存 等 实用 功能 ,可 以 
有 效 控制 网 络 内 部 与 外 部 的 通信 ,防范 外 来 网 络 的 攻击 ,提高 网 络 性 能 和 安全 性 。 


9.1 Internet 接 入 安全 规划 


Internet 接 人 安全 是 网 络 安全 防御 的 重要 目标 。 企 业 网 络 的 所 有 客户 端 和 网 络 设备 均 
通过 该 接口 接 入 Internet, 而 来 自 外 网 的 所 有 攻击 和 威胁 因素 也 均 由 此 接口 进入 ,其 重要 性 
可 见 一 斑 , 这 也 是 在 此 处 部 署 硬 件 防 火 墙 的 主要 原因 。 除 此 之 外 ,还 应 部 署 一 套 基于 软件 的 
应 用 层 安全 防御 系统 ,来 加 强 网 络 安全 管理 。 


9.1.1 案例 情景 


目前 ,该 企业 局 域 网 的 出 口 处 已 经 部 署 了 集成 VPN 功能 Cisco ASA 5540 硬件 防火 墙 ， 
可 以 提供 基本 的 远程 安全 接 入 和 Internet 安全 接 入 。 但 是 无 法 对 网 络 客 户 端 用 户 的 应 用 进 
行 严格 限制 ,致使 网 络 统一 管理 难以 实施 。 例 如 ,无 法 限制 客户 端 用 户 在 工作 时 间 内 聊天 、 
浏览 视频 网 站 ,无 法 对 客户 端 下 载 文件 进行 监控 ,进而 导致 病毒 程序 的 全 网 泛滥 。 


9.1.2 项 目 需 求 


企业 网 络 中 的 客户 端 和 服务 器 ,大 部 分 使 用 Microsoft 的 Windows 产品 ,如 果 用 来 自 其 
他 厂商 的 安全 解决 方案 来 保护 当前 网 络 ,很 容易 出 现 兼 容 性 问题 。 因 此 ,应 尽量 采用 
Microsoft 公司 的 安全 产品 ,Forefront TMG 是 Microsoft 最 新 推出 的 网 络 边 缘 安 全 产品 ,可 
以 同时 为 企业 网 络 中 的 服务 器 和 客户 端 提供 安全 保护 ,适用 范围 更 广 ,并 且 人 允许 用 户 针 对 不 
同 的 环境 需求 ,配置 不 同 的 网 络 策略 ,可 以 灵活 控制 内 部 客户 端 访问 Internet 的 行为 。 


9.1.3 解决 方案 
Forefront TMG 服务 器 不 仅 可 以 解决 企业 网 络 应 用 层 安 全 产品 缺失 的 问题 ,而 且 可 以 
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满足 企业 网 络 未 来 一 段 时 间 发 展 的 需求 ,具有 很 强 的 并 发 访问 支持 能 力 。TMG 提供 多 种 
网 络 应 用 模板 ,以 适应 不 同 的 网 络 需要 ,例如 边缘 防火 墙 、3 向 外 围 网 络 防火 墙 . 前 端 防火 
墙 \ 后 端 防火 墙 以 及 单一 网 络 适配器 防火 墙 。 当 前 企业 网 络 中 ,Forefront TMG 代理 服务 器 
接 入 只 是 路 由 器 接 入 和 防火 墙 接 入 的 一 种 替代 方案 ,可 以 将 Forefront TMG 服务 器 直接 部 
署 在 网 络 边缘 ,图 9-1 所 示 为 TMG 服务 器 的 部 署 示意 图 


域 控制 器 WSUS 防 病毒 服务 器 Forefront TMG 


Internet 


站 
客户 端 计 算 机 隔离 服务 器 
图 9-1 TMG 服务 器 的 部 署 示意 图 


本 章 中 TMG 服务 器 运行 Windows Server 2008 操作 系统 。TMG 服务 器 使 用 域 管理 
员 身份 登录 。 如 果 为 TMG 服务 器 建立 独立 账号 ,需要 将 该 账号 添加 到 TMG 服务 器 的 本 
地 管理 员 组 中 。 


9.2 安装 Forefront TMG 服务 器 


Forefront TMG 具有 ISA Server 所 提供 的 所 有 功能 ,除了 代理 服务 器 提供 共享 上 网 、 
担任 防火 墙 保护 内 部 网 络 安全 以 及 利用 Web 缓存 增加 访问 速度 以 外 ,还 可 以 搭建 VPN 服 
务 器 ,提供 远程 安全 访问 。 另 外 ,还 增加 了 恶意 软件 检查 功能 ,杜绝 Internet 访问 中 的 病毒 
和 间谍 软件 ,从 而 大 大 提供 局 域 网 访问 Internet 时 的 安全 性 。 


9.2.1 安装 需求 


Forefront TMG 对 服务 器 的 软件 和 硬件 环境 都 有 一 定 的 要 求 , 而 且 所 连接 的 客户 端 越 
多 ,所 要 求 的 配置 也 越 高 。 不 过 ,安装 时 的 要 求 并 不 高 ,只 需 满足 以 下 条 件 即 可 。 

(1) 服务 器 使 用 1GHz 或 更 高 CPU 。 

(2) 服务 器 采用 Windows Server 2008 x64 操作 系统 。 

(3) 1GB 内 存 或 更 高 。 

(4) Forefront TMG 服务 器 需要 至 少 两 块 网 络 适配器 ,一 块 用 于 与 内 部 网 络 通信 ; 另 
一 块 用 于 连接 外 部 网 络 。 

(5) 磁盘 分 区 采用 NTFS 文件 系统 ,并 且 拥 有 至 少 150MB 的 可 用 空间 。 

(6) 数据 库 采 用 Microsoft SQL Server 2005 Express Edition。 

每 台 Forefront TMG 服务 大 约 (最 大 同时 ) 能 连接 500 一 1000 个 客户 端 ,如 果 企 业 中 的 
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计算 机 更 多 ,要 想 实现 高 性 能 、 高 安全 性 (在 发 生 服 务 器 硬件 故障 时 不 中 断 服务 ) ,就 需要 利 
用 Forefront TMG 组 成 “阵列 ”方式 。 
9.2.2 安装 Forefront TMG 


Forefront TMG 的 安装 过 程 很 简单 ,完成 所 有 准备 工作 之 后 即 可 开始 安装 。 
安装 程序 "窗口 。 


(1) 运行 Forefront TMG 安装 光盘 ,显示 如 图 9-2 所 示 的 “Microsoft Forefront TMG 


(2) 单 击 “ 安 装 Forefront TMG” 链 接 , 运 行 安装 向 导 。 连 续 单 击 “ 下 一 步 "按钮 ， 
户 信息 ”对 话 框 中 输入 用 户 名 、 单 位 和 产品 序列 号 ; 在 “安装 方案 ”对 话 框 中 ,选中 “ 安 


四 


Forefront Threat Management Gateway” 单 选 按钮 ,如 图 9-3 所 示 。 
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图 9-2 Forefront TMG 安装 界面 


cp ma | 

图 9-3 “安装 方案 ”对 话 框 

(3) 连续 单 击 * 下 一 步 ? 按 钮 ,在 “组 件 选择 ?对 话 框 中 选择 欲 安装 的 组 件 ; 在 “内 部 网 
络 ?对 话 框 中 添加 内 部 网 络 的 地 址 。 单 击 * 添 加 ”按钮 ,显示 如 图 9-4 所 示 的 “地 址 ?对 话 框 ， 
用 来 添加 内 部 网 络 的 IP 地 址 范围 。 


如 果 要 根据 网 卡 添加 ,可 单 击 * 添 加 适配器 "按钮 ,显示 如 图 9-5 所 示 的 “选择 网 络 适 配 
器 ?对 话 框 ,选择 连接 内 部 网 络 的 网 卡 , 即 可 自动 添加 相应 的 IP 地 址 段 。 
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192 168 100 0 - 192 168 100 255 


图 9-4 添加 地 址 范围 


| 


[Tm 


图 9-5 “选择 网 络 适配器 "对 话 框 
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如 果 网 络 内 还 包含 有 其 他 类 型 的 IP 地 址 段 , 可 单 击 * 添 加 专用 地 址 ?按钮 ,在 下 拉 列 表 
框 中 选择 相应 的 私有 IP 地 址 段 ,如 图 9-6 所 示 。 


如 果 添 加 专门 的 耳 地 址 段 ,可 单 击 * 添 加 范围 > 按钮 ,显示 如 图 9-7 所 示 的 “IP 地 址 范围 
属性 ?对 话 框 ,输入 起 始 地 址 和 结束 地 址 即 可 。 


这 些 是 在 此 网 络 中 忆 括 的 II 地 址 范围 * 


192. 188.100.0 192.168.100 255 


10.0.0.0 ~ 10.255. 255.255 
172.16.0.0 ~ 1T2. 31.255.255 
192. 168.0.0 - 192. 188 .235 255 


09 .254 0.0 ~ 109 254 255.255 ET 9 
指定 I 地 十 轩 : 
起 哲 地 址 上) 护 可 地 址 ): 
Fe we in 
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图 9-6 添加 专用 地 址 图 9-7 “IP 地 址 范围 属性 ”对 话 框 


(4) 单 击 “确定 "按钮 返回 "内 部 网 络 ? 对 话 框 。 单 击 * 下 一 步 ? 按 钮 ,显示 如 图 9-8 所 示 
的 “服务 警告 对话 框 , 列 出 了 在 安装 过 程 中 将 需要 重新 启动 和 停止 的 服务 。 

(5) 单 击 “下 一 步 "按钮 ,显示 ”为 安装 程序 做 好 准备 "对话 框 。 单 击 * 安 装 "按钮 即 可 开 
始 安装 。 完 成 后 显示 “安装 向 导 完 成 "对话 框 ,Forefront TMG 安装 完成 ,如 图 9-9 所 示 。 
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Ee = 
着 由 机 到 程 访问 服务 Fe 
厂 布 向导 关闭 后 同 用 了 orefront TI 
音 击 " 充 成 ” 测 册 向导。 
TO Es 
9-8 “服务 警告 "对话 框 9-9 ” Forefront TMG 安装 完成 


(6) 单 击 “ 完 成 ”按钮 退出 安装 向 导 , 显示 “保护 ISA 服务 器 计算 机 ”窗口 ,并 启动 
Forefront TMG 控制 台 。 首 先 会 显示 如 图 9-10 所 示 的 “入 门 向 导 ” 对 话 框 ,可 用 来 简单 而 快 
速 地 配置 Forefront TMG ,如 果 不 运行 向 导 , 将 其 关闭 即 可 。 

(7) 在 Forefront TMG 控制 台中 展开 服务 器 名 , 即 可 配置 防火 墙 策略 、 网 络 策略 及 
VPN, 如 图 9-11 所 示 。 也 可 以 依次 选择 “开始 ”>“ 所 有 程序 ”> Microsoft Forefront TMG 一 
“Forefront TMG 管理 ,在 右 侧 窗 格 的 “任务 选项 卡 中 , 单 击 “启动 人 门 向 导 ? 链 接 , 也 可 以 
重新 启动 人 门 向 导 。 
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图 9-11 Forefront TMG 控制 台 
9.3 配置 Forefront TMG 


在 第 一 次 运行 Forefront TMG 时 ,会 自动 启动 人 门 向 导 , 可 以 完成 配置 网 络 设置 .配置 
系统 设置 和 定义 部 署 选 项 ,并 可 配置 Web 访问 策略 。 不 过 ,这 3 个 向 导 是 按 顺 序 依次 进行 
的 ,在 首次 使 用 时 ,必须 先 配 置 完 前 一 个 向 导 , 才 可 配置 下 一 个 向 导 。 而 当 配置 完 Web 访问 
策略 以 后 ,局域网 的 计算 机 就 可 以 直接 访问 Internet 上 的 Web 网 站 了 。 


9.3.1 配置 网 络 设 置 


配置 网 络 设置 的 操作 步骤 如 下 。 
(1) 在 “人 门 向 导 ? 对 话 框 中 单 击 * 配 置 网 络 设置" 链接 ,启动 “人 门 -网 络 设置 向 导 ?”。 
单 击 “ 下 一 步 "按钮 ,显示 “网 络 模板 选择 ”对 话 框 ,用 来 选择 最 适合 当前 网 络 的 拓扑 结构 ， 
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如 图 9-12 所 示 。 


(2) 单 击 “ 下 一 步 ” 按 钮 ,显示 “局 域 网 (LAN) 设 置 " 对 话 框 。 在 “连接 到 LAN 的 网 络 适 
配器 ”下拉 列表 框 中 ,选择 连接 局 域 网 的 网 络 连接 ,如 图 9-13 所 示 。 
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图 9-12 “网 络 模板 选择 ”对 话 框 图 9-13 “局 域 网 (LAN) 设 置 " 对 话 框 


(3) 单 击 “ 下 一 步 ” 按 钮 ,显示 “Internet 设置 "对话 框 。 在 “连接 到 Internet 的 网 络 适 配 
器 ”下 拉 列 表 框 中 ,选择 连接 Internet 的 网 络 连接 ,如 图 9-14 所 示 。 

(4) 单 击 “下 一 步 ? 按 钮 ,网 络 设置 向 导 完 成 ,如 图 9-15 所 示 。 单 击 “ 关 闭 ” 按 钮 关闭 
即 可 。 


正在 完成 网 络 安装 向 导 
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加 划 
要 关闭 向 导 ， 请 单 击 * 完 成”。 
BT WR 2 El 9 


9-14 “Internet 设置 "对 话 框 9-15 ”完成 网 络 设置 向 导 


9.3.2 配置 系统 设置 


当 “ 网 络 设置 向 导 ” 完 成 以 后 ,“ 配 置 系统 设置 "选项 变 为 可 用 状态 ,可 以 用 来 定义 本 地 系 
统 设置 了 ,如 图 9-16 所 示 。 

单 击 * 配 置 系统 设置 "链接 ,启动 “系统 配置 向 导 ”。 连 续 单 击 * 下 一 步 ? 按 钮 即 可 配置 完 
成 ,如 图 9-17 所 示 。 
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LTE P| 
图 9-16 配置 系统 设置 图 9-17 系统 配置 向 导 


9.3.3 定义 部 署 选项 


当 * 系 统 配置 向 导 ” 运 行 完成 以 后 光 定 义 部 署 选项 就 会 变 为 可 用 状态 ,如 图 9-18 所 示 ， 
用 来 配置 Forefront TMG 的 部 署 设置 。 

(1) 单 击 “定义 部 署 选 项 链接 ,启动 “人 门 -部 署 向 导 ”。 连 续 单 击 * 下 一 步 ? 按 钮 ,在 如 
图 9-19 所 示 的 “Microsoft Update 设置 ?对 话 框 中 ,选中 * 使 用 Microsoft Update 服务 检查 
更 新 (推荐 )" 单 选 按钮 。 
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图 9-18 定义 部 署 选 项 9-19 “Microsoft Update 设置 ?对 话 框 
(2) 在 “定义 更 新 设置 ?对 话 框 中 ,选择 恶意 软件 的 检查 方式 和 自动 更 新 操作 的 轮 询 频 


率 , 如 图 9-20 所 示 。 
(3) 连接 单 击 * 下 一 步 ? 按 钮 ,完成 部 署 向 导 , 如 图 9-21 所 示 。 单 击 * 完 成 ”按钮 返回 “人 
门 向 导 ? 对 话 框 。 


9.3.4 实现 Internet 共享 


Forefront TMG 的 “入 门 向 导 ” 还 提供 了 “Web 访问 策略 向 导 ” 功 能 ,通过 该 向 导 即 可 创 
建 Internet 连接 共享 策略 , 供 内 部 网 络 的 用 户 通 过 Forefront TMG 访问 Internet 上 的 Web 
网 站 ,而 不 必 再 手动 创建 专门 的 策略 。 
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图 9-20 “定义 更 新 设置 ?对 话 杠 图 9-21 完成 部 署 向 导 
(1) 当 配置 网 络 设置 .配置 系统 设置 和 定义 部 署 选项 全 部 配置 完成 以 后 ,返回 “和 人 门 向 
导 ” 对 话 框 ,会 发 现 多 出 了 一 个 “运行 Web 访问 a 
向 导 ” 复 选 框 ,如 图 9-22 所 示 。 选 中 该 项 用 来 配 到 殉 . 询 嘻 下 1 


置 Web 访问 策略 。 

(2) 单 击 “ 关 闭 ” 按 钮 , 即 可 启动 *Web 访问 
策略 向 导 ”。 单 击 * 下 一 步 ?按钮 ,显示 “Web 保 
护 ” 对 话 框 ,选中 “是 ,启用 恶意 软件 检查 功能 ” 
单 选 按 钮 ,如 图 9-23 所 示 。 

(3) 单 击 “下 一 步 ? 按 钮 ,显示 如 图 9-24 所 
示 的 “Web 访问 策略 类 型 ”对话 框 ,可 以 选择 以 
下 选项 。 

@ 为 我 的 组 织 中 的 所 有 客户 端 创建 简单 的 
Web 访问 策略 : 如 果 选 择 该 项 ,可 创建 允许 内 
部 网 络 的 所 有 客户 端 计算 机 访问 Internet 的 策略 
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欢迎 使 用 Web 访问 策略 向 导 
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9-22 “入门 向 导 ” 对 话 框 


,这 里 选择 该 项 。 
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图 9-23 “Web 保护 ”对 话 框 


9-24 “Web 访问 策略 类 型 ”对话 框 
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@ 为 用 户 、 组 和 计算 机 创建 自 定义 的 Web 访问 策略 : 如 果 选 择 该 项 , 则 可 创建 一 个 策 
略 ,允许 或 者 拒绝 内 部 网 络 中 的 用 户 或 者 计算 机 访问 Internet。 用 户 通过 Forefront TMG 
访问 Internet 时 ,需要 进行 身份 验证 。 


(4) 单 击 “ 下 一 步 "按钮 ,显示 “ 受 限 制 的 Web 目标 ?对 话 框 , 用 来 拒绝 内 部 网 络 访问 的 


Web。 单 击 * 添 加 ”按钮 ,显示 "添加 目标 ?对话 框 , 可 以 添加 欲 限制 访问 的 URL 集 ,域名 集 、 
地 址 范围 和 网 络 , 如 图 9-25 所 示 。 


DOTTI TIE 革 
要 各 的 ev 目标 
同音 Tab 访 癌 和 验 亿 许 访问 所 有 web 目标 ， 但 二 让。 
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图 9-25 “ 受 限 制 的 Web 目标 ”对 话 框 


例如 ,要 禁止 内 网 用 户 访问 某 些 不 良 的 Web 站 点 ,可 单 击 “ 新 建 ” 菜 单 中 的 “新 建 URL 
集 ” 选 项 ,显示 如 图 9-26 所 示 的 “新 建 URL 集 规则 元 素 ” 对 话 框 。 在 “名 称 ” 文 本 框 中 为 该 
URL 集 输入 一 个 名 称 , 单 击 “ 添 加 ”按钮 ,添加 欲 禁 止 访问 的 Web 网 址 即 可 。 

单 击 “ 确 定 ” 按 钮 返回 “添加 目标 ”对 话 框 。 展 开 “URL 集 ”, 选 择 刚刚 创建 的 URL 集 ， 
单 击 “ 添 加 ”按钮 , 即 可 添加 到 “ 受 限制 的 Web 目标 ”对 话 框 。 

(5) 单 击 “下 一 步 ?按钮 ,显示 如 图 9-27 所 示 的 “ 受 限制 的 目标 例外 ”对 话 框 。 有 时 , 限 
制 访问 的 Web 目标 又 需要 被 内 网 的 某 些 用 户 访 问 , 可 单 击 “ 添 加 ”按钮 添加 允许 访问 的 用 
户 。 也 可 单 击 “ 新 建 " 按 钮 ,运行 “新 建 用 户 集 向 导 ” 来 创建 允许 访问 受 限 制 目 标的 用 户 集 。 


ee > 革 
外 
本 基文 人 中 和 定 基 户 证 hk 上 村 


EEIETTE3 ad 


Me BH 
国土 [7 


Or 和 正太 和， 可 能 不 台 近 HWG 庆 全 用 iL 入 一 一 
LT 
| 


添加 四 | 重合 名 四 | 加) 


| 


Cj] _e* | 


图 9-26 “新 建 URL 集 规则 元 素 ” 对 话 框 图 9-27 “ 受 限制 的 目标 例外 ”对 话 框 
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(6) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 9-28 所 示 的 “恶意 软件 检查 设置 ?对 话 框 , 可 选择 是 
否 检查 从 Internet 请 求 的 Web 内 容 ,以 检查 是 否 含有 恶意 软件 。 

(7) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 9-29 所 示 的 “Web 缓存 配置 "对话 框 ,用 来 设置 Web 
缓存 ,以 提高 内 部 网 络 访问 Web 网 站 的 速度 ,并 减少 Internet 带宽 的 消耗 。 
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图 9-28 “恶意 软件 检查 设置 "对话 框 


图 9-29 “Web 缓存 配置 ”对话 框 


(8) 单 击 “ 缓 存 驱 动 器 ”按钮 ,显示 如 图 9-30 所 示 的 “定义 缓存 驱动 器 "对话 框 。 选 择 要 
设置 缓存 的 驱动 器 ,在 “最 大 缓存 大 小 ”文本 框 中 输入 欲 设置 的 缓存 大 小 (以 MB 为 单位 ) , 单 
击 “ 设 置 "按钮 即 可 。 例 如 ,这 里 设置 EE 盘 为 缓存 驱动 器 ,缓存 大 小 为 10000MB。 单 击 “ 确 
定 ” 按 钮 保存 并 返回 。 

提示 : 为 了 使 内 网 计算 机 访问 Internet 的 速度 更 快 ,缓存 自然 是 越 大 越 好 。 当 然 , 也 要 
留 出 足够 的 空间 用 于 保存 其 他 数据 。 

(9) 单 击 * 下 一 步 按 钮 ,显示 如 图 9-31 所 示 的 “正在 完成 Web 访问 策略 向 导 ” 对 话 框 ， 
Web 访问 策略 向 导 完成 。 单 击 “ 完 成 "按钮 ,返回 Forefront TMG 控制 台 。 


正在 完成 Wb 访问 第 略 向 导 
TinomenGana 人 


sw | nn 


盘 大 组 在 大 小 9) 0); 


TS 明 动 如上 总 的 垃 乱 宝 司 06) 3605 
当前 总 的 蜂 存 大 小 NB) 


9-30 “定义 缓存 驱动 器 ”对 话 框 


图 9-31 “正在 完成 Web 访问 策略 向 导 ” 对 话 框 


至 此 ,Web 访问 策略 配置 完成 。 如 果 当 前 服务 器 仅仅 用 来 充当 代理 服务 器 功能 ,那么 ， 
不 需 进行 其 他 设置 , 即 可 使 局 域 网 中 的 计算 机 连接 Internet 了 。 


9.3.5 配置 Web 访问 策略 
在 Forefront TMG 控制 台中 单 击 *Web 访问 策略 ”选项 ,用 来 设置 Web 访问 策略 ,如 
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图 9-32 所 示 。 其中,“Web 访问 限制 "策略 的 操作 方式 为 “拒绝 ", 用 来 设置 阻止 访问 的 行 


为 ; 而 “Web 访问 默认 规则 ”策略 的 操作 方式 为 “允许 ”, 用 来 设置 允许 访问 的 行为 。 不 过 ,新 
创建 的 策略 尚未 生效 ,因此 ,提示 需要 单 击 “应 用 "来 保存 更 改 并 更 新 配置 。 


We 矶 问 芝 中 


EECTETTTTD 
Er 而 一， 各 1 用户 
Si5e “ 申 mUanl ”各 用 相关 任务 


图 9-32 ”Web 访问 策略 


提示 : 单 击 “任务 ”选项 卡 中 的 “配置 Web 访问 策略 ”链接 ,可 以 重新 启动 “Web 访问 策 
略 向 导 ” 进 行 配置 ,不 过 ,原来 手动 配置 的 Web 访问 策略 将 会 被 丢弃 。 

(1) 单 击 “应 用 ”按钮 ,显示 如 图 9-33 所 示 的 “Forefront TMG 警告 "对话 框 。 选 中 * 保 
存 更 改 ,并 重启 动 服务 " 单 选 按 钮 , 单 击 “ 确 定 ” 按 钮 , 即 可 开始 应 用 更 改 。 

(2) 单 击 “ 确 定 ” 按 钮 ,显示 如 图 9-34 所 示 的 “正在 保存 配置 更 改 ” 对 话 框 ,所 做 的 更 改 
应 用 完成 。 单 击 “ 确 定 ” 按 钮 关闭 即 可 。 


名 Ei 请 检查 看 釉 杖 杞 ， 确 定 更 次 应 用 到 所 有 确定 


st 疹 下 让 与 新 区 所 
Cj 人 


9-33 “Forefront TMG 警告 "对 话 框 图 9-34 “正在 保存 配置 更 改 " 对 话 框 


(3) 如 果 需 要 重新 配置 Web 访问 策略 ,可 选择 相应 的 策略 ,例如 “Web 访问 限制 ”, 右 击 
并 选择 快捷 菜单 中 的 “属性 ”选项 ,显示 如 图 9-35 所 示 的 “Web 访问 限制 属性 ”对 话 框 。 如 
果 要 禁用 该 策略 ,可 取消 选中 “启用 ” 复 选 框 。 

(4) 切换 到 “协议 ”选项 卡 ,可 以 设置 当前 策略 所 控制 的 协议 ,如 图 9-36 所 示 。 

(5) 在 “从 ”和 “到 ”选项 卡 中 ,可 以 分 别 设置 源 和 目标 的 通信 ,如 图 9-37 所 示 。 例 如 ， 
Internet 上 有 很 多 违法 或 不 良 网 站 ,为 了 防止 内 网 用 户 访 问 , 就 可 以 在 “到 ”选项 卡 中 通过 添加 
全 地 址 域名 或 URL 的 方式 将 其 阻止 。 其 操作 步骤 和 运行 “Web 访问 策略 向 导 ” 时 相同 。 
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Cj]_ 芒 EE 
图 9-35 “Web 访 问 限 制 属性 ”对 话 框 


[| 
计划 | a | | AR 和 | 
| | 到 | 


图 9-36 “协议 ”选项 卡 


(6) 在 “用 户 ” 选 项 卡 中 ,可 以 设置 此 策略 应 用 于 哪些 用 户 , 如 图 9-38 所 示 。 


es 沪 问 限 民 性 EE 


| 万 | mma | EE 
se || 
计划 。 | 。 二 共 实 于 | 省 人 他 术 宇 。 | 。 用户 和 全 人 
> 人 | 人 作 | 也 议 | 从 | ap i 
此 需 JMEE 间 于 发 送 和 这 此 目标 39 坎 讯 
E> 
EE 
Mi 
例外 
站 Mi: 
E22 
| 一 
-一 到 
Cj]_ ww | sw| pk i 0 
图 9-37 “从 "和 “到 ”选项 卡 图 9-38 “用 户 ” 选 项 卡 


(7) 在 “计划 ”选项 卡 中 ,可 以 设置 当前 策略 的 执行 时 间 , 如 图 9-39 所 示 。 例 如 ,要 允许 内 
网 用 户 只 能 在 工作 时 间 上 网 ,就 可 以 将 时 间 范 围 选择 为 从 星期 一 的 8 点 至 星期 五 的 5 点 。 

(8) 选择 如 图 9-40 所 示 的 “内 容 类 型 "选项 卡 ,可 以 设置 该 策略 可 用 于 哪些 类 型 ,默认 
应 用 于 所 有 内 容 类 型 。 


ETT 1 ETI uw 
党 地 | 提 作 | 协议 | 从 | 到 | RP 户 | 机 | 间作 | 协议 | 从 | 到 | R 户 | 
计划 |。 内容 站 型 “| 。 秋季 软件 性 查 。 | 用户 本 知 计划 六 请 灶 型 。 | 。 天 总 软 件 必 查 。 | 。 用 户 遂 知 
HD Sa 有 国人 

种 过 加 ) 


= 


和 


EE 
本 二 


CED | 
图 9-39 “计划 ”选项 卡 


取消 了 
图 9-40 “内 容 类 型 "选项 卡 
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9.3.6 知识 链接 : Forefront TMG 中 的 网 络 


在 Forefront TMG 网 络 中 ,分 为 “内 部 ”“ 本 地 主机 ”“ 外 部 ”“VPN 客户 端 " 和 “被 隔 
离 的 VPN 客户 端 ? 共 5 部 分 。 这 些 网 络 的 功能 和 意义 分 别 如 下 。 

(1) 内 部 : 代表 内 部 局 域 网 。TMG 防火 墙 将 内 部 网 络 代表 受信 任 和 受 保护 的 网 络 , 默 
认 人 允许 本 地 主机 访问 内 部 网 络 上 的 资源 ,但 拒绝 其 他 任何 网 络 访问 内 部 网 络 , 必 须 创建 规则 
来 允许 到 内 部 网 络 的 访问 。 

(2) 本 地 主机 : 代表 TMG 服务 器 本 身 。 与 TMG 防火 墙 之 间 的 所 有 通信 都 被 认为 是 
和 本 地 主机 网 络 之 间 的 通信 。 

(3) 外 部 : 指 连 接 到 Internet 的 网 络 ,通常 被 视 为 不 受信 任 的 网 络 。 

(4) VPN 客户 端 : 代表 通过 VPN 连接 到 ISA 服务 器 的 客户 端 计算 机 ,由 TMG 防火 墙 


(5) 被 隔离 的 VPN 客户 端 : 包含 尚未 解除 隔离 的 VPN 客户 端的 地 址 ,由 TMG 防火 
墙 动态 生成 。 

除了 上 述 的 5 部 分 网 络 , 如 果 Forefront TMG 被 配置 成 “3 向 外 围 网 络 ”, 还 包括 “外 围 ” 
网 络 。“ 外 围 ”网 络 也 称 为 DMZ(Demilitarized Zone) 。DMZ 通常 用 于 放置 公共 信息 ,用 户 、 
潜在 用 户 和 外 部 访问 者 都 可 以 直接 访问 DMZ 区 域 ,而 不 必 通 过 内 网 。 目 前 ,许多 硬件 防火 
墙 都 集成 了 DMZ 接口 。Forefront TMG 也 可 以 在 安装 3 块 网 卡 ( 或 者 更 多 ) 的 情况 下 , 配 
置 成 “3 向 外 围 网 络 ”。 


9.4 ”Internet 接 入 安全 管理 


TMG 功能 强大 ,设置 和 使 用 十 分 方便 。TMG 不 仅 将 网 络 划分 为 内 网 和 外 网 ,还 多 了 
一 个 “本 地 主机 ”部 分 ,从 而 进一步 提高 企业 网 络 的 安全 性 。 通 过 “入 门 向 导 ” 的 配置 ,已 经 创 
建 了 基本 的 Web 访问 策略 。 除 此 之 外 ,管理 员 还 可 以 根据 需要 配置 相关 的 防火 墙 策 略 , 例 
如 限制 客户 端 访问 Internet 时 间 、 限 制 下 载 文件 的 类 型 等 。 默 认 情 况 下 ,未 经 管理 员 明 确 多 
许 的 访问 Internet 的 行为 ,都 会 被 TMG 服务 器 阻止 。 


9.4.1 限制 部 分 用 户 访问 Internet 的 时 间 


使 用 TMG 的 访问 规则 ,可 以 控制 指定 的 用 户 在 指定 的 时 间 是 否 能 够 访问 互联 网 。 在 
部 署 访问 规则 前 ,需要 在 Active Directory 中 创建 一 个 控制 用 户 访问 的 安全 组 ,将 需要 控制 
的 用 户 添加 到 该 组 中 。 使 用 TMG 管理 控制 台 创建 时 间 控 制 区 域 , 然 后 通过 规则 设置 访问 
的 操作 。 

(1) 打开 Forefront TMG 管理 控制 台 , 右 击 * 防 火 墙 策略 ?并 选择 快捷 菜单 中 的 “新 建 ”一 
“访问 规则 ?选项 ,显示 如 图 9-41 所 示 的 “欢迎 使 用 新 建 访问 规则 向 导 ” 对 话 框 。 在 “访问 规 
则 名 称 ” 文 本 框 中 输入 规则 名 称 ,例如 “限制 职工 访问 Internet 的 时 间 ” 等 。 

(2) 单 击 “ 下 一 步 ”按钮 ,显示 如 图 9-42 所 示 的 “规则 操作 ”对 话 框 ,选中 “拒绝 ” 单 选 
按钮 。 
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@。。 
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| 
村 坎 迎 使用 新 建 访问 规则 向 导 Metens nn, RT 民 避 
cose Threat Management Gateway 本 网 
ns Em 
5 0) 
访问 蜗 [N 名 称 人 ) 
[Lr 
和 下 续 ， 请 间 击 "下 一 步 ” 
== 
un | mn | 
图 9-41 “欢迎 使 用 新 建 访问 规则 向 导 ” 对 话 框 图 9-42 “规则 操作 ”对 话 框 


(3) 单 击 “下 一 步 "按钮 ,显示 如 图 9-43 所 示 的 “协议 ”对 话 框 ,在 “此 规则 应 用 到 ”下 拉 
列表 框 中 选择 “所 选 的 协议 ”选项 ,并 单 击 “ 添 加 "按钮 ,添加 客户 端 用 户 使 用 的 网 络 协议 
即 可 。 

(4) 单 击 “ 下 一 步 ”按钮 ,显示 如 图 9-44 所 示 的 “访问 规则 源 ” 对 话 框 , 单 击 “ 添 加 ”按钮 ， 
在 “添加 网 络 实体 "对话 框 中 选择 “网 络 ” 一 “内 部 "选项 , 单 击 “ 添 加 ”按钮 ,将 其 添加 到 “访问 


规则 源 ” 列 表 中 。 
TTT 十 
| 
同仁 
RNG 用 于 来 自 这 此 和 A3 访 
图 9-43 “协议 ”对 话 框 图 9-44 “访问 规则 源 ” 对 话 框 


(5) 单 击 “ 下 一 步 ”按钮 ,显示 如 图 9-45 所 示 的 “访问 规则 目标 ”对 话 框 ,使 用 相同 的 方 
法 ,将 访问 规则 的 目标 指定 为 “外 部 ” 即 可 。 

(6) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 9-46 所 示 的 “用 户 集 ” 对 话 框 ,删除 默认 的 “所 有 用 
户 ”, 单 击 “ 添 加 ”按钮 ,显示 “用 户 集 ”对 话 框 ,目前 “用 户 集 ” 中 并 没有 所 需 的 “职工 ”用 户 集 ， 
需要 手动 创建 。 单 击 “ 新 建 "按钮 ,启动 “新 建 用 户 集 向 导 ”, 在 “用 户 集 名 称 ”文本 框 中 ,输入 
“职工 ”5 

(7) 单 击 “下 一 步 ? 按 钮 ,显示 如 图 9-47 所 示 的 “用 户 ” 对 话 框 , 单 击 “ 添 加 ”按钮 ,显示 
“选择 用 户 或 组 ?对 话 框 ,将 查找 位 置 更 改 为 当前 域 , 输 入 需要 添加 的 用 户 组 或 用 户 账户 名 称 
即 可 。 
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图 9-45 “访问 规则 目标 ?对 话 框 
(8) 连续 单 击 “确定 ?按钮 ,完成 “职工 


图 9-46 “用 户 集 ” 对 话 框 
工 ” 用 户 集 的 创建 并 返回 到 “新 建 访问 规则 向 导 ”, 将 


“职工 ”用 户 集 添加 到 列表 中 ,如 图 9-48 所 示 。 


加 | 
WT 已 下 Ca EE 
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ET NE 用 于 来 自 下 于 户 和 a 
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| 
图 9-48 ”成功 添加 “职工 "用户 集 


图 9-47 “用 户 ” 对 话 框 


(9) 单 击 “ 下 一 步 " 按 钮 ,显示 如 图 9-49 所 示 的 “正在 完成 新 建 访问 规则 向 导 ” 对 话 框 。 
继续 单 击 “完成 ?按钮 , 即 可 成 功 创建 访问 规则 。 

(10) 在 Forefront TMG 管理 控制 台 窗口 中 , 右 击 创建 的 “限制 职工 访问 Internet 的 时 

间 ? 访 问 规则 ,选择 快捷 菜单 中 的 “属性 ?选项 ,显示 如 图 9-50 所 示 的 “限制 职工 访问 Internet 
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9-49 “正在 完成 新 建 访问 规则 向 导 ” 对 话 框 ”图 9-50 “限制 职工 访问 Internet 的 时 间 属性 ”对 话 框 
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的 时 间 属性 ”对 话 框 ,切换 到 “计划 ”选项 卡 ,在 “计划 ”下 拉 列 表 框 中 选择 “工作 时 间 ” 选 项 ， 
如 果 现 有 计划 内 容 与 实际 需求 不 符 , 则 可 以 单 击 “ 新 建 "按钮 ,添加 新 的 计划 。 

(11) 单 击 “ 确 定 ” 按 钮 ,返回 Forefront TMG 管理 控制 台 ,应 用 该 访问 规则 即 可 成 功 限 
制 职工 用 户 在 工作 时 间 访 问 Internet。 


9.4.2 禁止 用 户 下 载 危 险 内 容 


使 用 HTTP 过 滤器 ,可 以 根据 文件 的 扩展 名 进行 限制 。 例 如 ,禁止 当前 网 页 运行 某 些 
控件 ; 禁止 可 执行 文件 下 载 ,以 防止 木马 或 病毒 自动 人 侵 ; 禁止 网 页 中 的 BT 种 子 连接 等 ， 
都 可 以 通过 阻止 文件 扩展 名 来 实现 。 

(1) 在 Forefront TMG 窗口 中 ,创建 “允许 ”用 [| 
户 下 载 文件 的 访问 规则 ,也 可 以 直接 编辑 默认 创建 be 
的 “Web 访问 默认 规则 ”, 确 保 规则 中 包含 用 户 可 能 EBL 
使 用 的 下 载 协议 即 可 ,例如 HTTP、FTP 等 。 右 击 
希望 编辑 的 访问 规则 ,选择 快捷 菜单 中 的 “配置 
HTTP” 选 项 ,显示 如 图 9-51 所 示 的 “为 规则 配置 
HTTP 策略 ”对 话 框 。 切 换 到 “扩展 名 ”选项 卡 , 在 
“指定 对 文件 扩展 名 要 执行 的 操作 ”下 拉 列 表 框 中 
选择 “阻止 指定 的 扩展 名 (允许 所 有 其 他 扩展 名 )” 
选项 。 

(2) 单 击 添加 "按钮 ,显示 如 图 9-52 所 示 的 “ 扩 图 9-51 “为 规则 配置 HTTP 策略 "对 话 杠 
展 名 ”对 话 框 。 在 “扩展 名 ”文本 框 中 输入 要 阻止 的 
扩展 名 ,在 “描述 (可 选 )" 文 本 框 中 输入 说 明 信 息 。 

(3) 单 击 “ 确 定 ” 按 钮 ,扩展 名 类 型 添加 成 功 。 按 照 同样 操作 步 又 ,可 以 添加 多 种 扩展 
名 ,如 图 9-53 所 示 。 

(4) 单 击 “ 确 定 ” 按 钮 ,保存 设置 ,并 应 用 设置 使 其 生效 即 可 。 


和 | 方法 有 各 | 入 EE:- 寺 | 
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ET DE | 


CI | ew | 


图 9-52 “扩展 名 ”对 话 框 9-53 ”成 功 添加 所 有 希望 阻止 的 扩展 名 
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9.4.3 禁用 使 用 即时 消息 软件 


在 企业 中 ,为 了 不 影响 用 户 的 工作 ,往往 禁止 在 上 班 时 上 网 聊天 。 这 可 以 在 Forefront 
TMG 中 进行 限制 。Forefront TMG 默认 提供 了 AOL\、ICQ\、IRC、Net2Phone、MSN 
Messenger 等 软件 的 协议 ,而 对 于 一 些 国内 即时 通信 软件 却 没有 提供 ,如 QQ、UC 等 ,需要 
由 用 户 手动 添加 。 

1. 添加 QQ 和 UC 协议 

QQ 使 用 UDP 和 TCP 协议 的 4000 一 4010 端口 和 8000 一 8010 端口 。 而 UC 使 用 UDP 
协议 ,端口 为 3001.3002。 需 要 在 TMG 中 添加 QQ 和 UC 的 协议 ,准备 创建 禁用 规则 。 

(1) 打开 TMG 的 “防火 墙 策 略 ” 窗 口 ,在 右 侧 列表 中 选择 “工具 箱 ” 选 项 卡 , 并 选择 “ 协 
议 ” 选 项 组 ,如 图 9-54 所 示 。 
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图 9-54 “协议 ”选项 组 


(2) 单 击 “ 新 建 "按钮 ,选择 下 拉 菜 单 中 的 “协议 ”选项 ,运行 “新 建 协 议定 义 向 导 ”。 在 
“首要 连接 信息 ”对 话 框 中 ,用 来 设置 端口 号 和 协议 。 单 击 “ 新 建 "按钮 ,显示 如 图 9-55 所 示 
的 “新 建 /编辑 协议 连接 ”对 话 框 ,设置 如 下 选项 。 

@ 协议 类 型 : 在 下 拉 列 表 框 中 选择 UDP 选项 。 

@ 方向 : 在 下 拉 列 表 框 中 选择 发 送 接收 选项 。 

@ 端口 范围 : 分 别 输入 4000 和 4010。 

(3) 单 击 “ 确 定 ” 按 钮 添加 。 然 后 ,再 次 单 击 “ 新 建 "按钮 ,添加 端口 范围 为 8000 一 8010 
的 UDP 协议 。 连 续 单 击 “ 下 一 步 ” 按 钮 ,在 “辅助 连接 ”对 话 框 中 选中 “ 否 ” 单 选 按 钮 。 在 “ 正 
在 完成 新 建 协 议定 义 向 导 ” 对 话 框 中 , 单 击 “ 完 成 ”按钮 即 可 ,如 图 9-56 所 示 。 

(4) 再 次 运行 “新 建 协 议定 义 向 导 ”, 添 加 UC 协议 。UC 协议 的 “协议 类 型 "为 UDP， 
“方向 ”为 “发 送 接收 ”,“ 端 口 范围 ”为 3000 一 3002。 

添加 完成 的 QQ 和 UC 协议 将 显示 在 “防火 墙 策略 ”的 “用 户 定义 ”列表 中 ,如 图 9-57 所 
示 。 然 后 , 即 可 创建 防火 墙 策略 ,来 限制 这 两 种 协议 的 通信 。 
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图 9-55 “新 建 编辑 协议 连接 ”对 话 框 


9-56 “辅助 连接 ”对 话 框 
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图 9-57 添加 的 QQ 和 UC 协议 


2. 添加 防火 墙 规则 

要 限制 内 网 用 户 使 用 QQ、UC 等 即时 通信 软件 ,就 需要 添加 一 条 规则 ,拒绝 所 添加 的 
QQ 和 UC 协议 的 通信 ,从 而 使 内 网 中 的 用 户 无 法 登录 QQ 和 UC。 用 户 也 可 以 在 原 有 访问 
规则 基础 上 进行 适当 编辑 ,添加 相关 网 络 协议 即 可 。 

(1) 在 “防火 墙 策略 ”窗口 中 ,运行 “新 建 访问 规则 向 导 ”。 在 “规则 操作 ”对 话 框 中 选中 
“拒绝 ” 单 选 按钮 ; 在 “协议 ”对 话 框 中 , 单 击 “ 添 加 ”按钮 ,添加 “用 户 定 义 ” 中 的 QQ 和 UC 协 
议 , 如 图 9-58 所 示 。 

(2) 连续 单 击 “ 下 一 步 ” 按 钮 ,在 “访问 规则 源 ” 对 话 框 中 添加 “内 部 ”; 在 “访问 规则 目 
标 ” 对 话 框 中 添加 “外 部 ”。 规 则 创建 完成 以 后 ,还 可 设置 时 间 计 划 ,设置 为 只 在 上 班 时 间 禁 
用 QQ 和 UC。 右 击 该 规则 并 选择 快捷 菜单 中 的 “属性 ”选项 ,打开 规则 属性 对 话 框 。 选 择 
“计划 ”选项 卡 , 在 “计划 ”下 拉 列 表 框 中 选择 “工作 时 间 ” 选 项 即 可 ,如 图 9-59 所 示 。 

(3) 依次 单 击 “ 确 定 ” 按 钮 保存 ,并 单 击 “ 应 用 ”按钮 使 规则 生效 。 

这 样 , 在 上 班 时 间 , 用 户 就 不 能 使 用 QQ 和 UC 软件 了 。 
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图 9-58 添加 QQ 和 UC 协议 图 9-59 “计划 ”选项 卡 


9.4.4 禁止 用 户 观看 流 媒体 


允许 内 部 网 络 用 户 访问 互联 网 ,但 是 不 允许 在 正常 工作 时 间 观 看 流 媒 体 。 观 看 流 媒体 
时 占用 带宽 比较 高 ,如 果 100Mbps 的 Internet 线路 有 几 十 个 用 户 同 时 在 观看 流 媒体 ,其 他 
人 访问 互联 网 速度 会 明显 变 慢 。 在 TMG 中 ,创建 一 条 新 的 规则 “禁止 观看 流 媒体 ”, 禁 止 访 
问 流 媒体 服务 器 。 目 前 的 流 媒体 主要 采用 MMS、MMS 服务 器 、RTSP、RTSP 服务 器 等 
协议 。 


(1) 在 防火 墙 策 略 窗 口中 ,启动 “新 建 访问 规 划 
则 向 导 ”, 创 建 一 条 新 的 防火 墙 策略 。 在 “规则 操 ”enuammamsmon. 了 Ed 


作 ” 对 话 框 中 选择 拒绝” 选项。 在“ 协议” 对话 框 
中 ,选择 “此 规则 应 用 到 ”下 拉 列 表 框 中 的 “所 选 的 
协议 ”选项 。 单 击 “ 添 加 ”按钮 ,显示 “添加 协议 ”对 
话 框 ,将 * 流 媒体 "中 所 有 网 络 协议 添加 到 列表 中 
即 可 ,如 图 9-60 所 示 。 


(2) 在 “访问 规则 源 "对 话 框 中 添加 “内 部 ” 先 ET 
项 。 在 * 访 问 规则 目标 ”对话 框 中 添加 * 外 部 ” 先 
项 。 在“ 用户 集 ” 对 话 框 中 添加 “所 有 用 户 ” 选 项 。 四 960 每 加 所 有 注 煤 体 欣 议 


单 击 “ 完 成 "按钮 ,完成 访问 规则 的 创建 。 
新 规则 创建 完成 以 后 , 单 击 “ 应 用 ”按钮 使 规则 生效 ,用 户 就 不 能 观看 使 用 选择 的 流 媒体 
协议 播放 的 电影 。 


9.4.5 知识 链接 : TMG 用 作 Internet 边缘 防火 墙 


Forefront TMG 可 以 部 署 为 专用 Internet 边缘 防火 墙 ,部 署 在 连接 内 部 网 络 与 
Internet 的 网 络 边缘 ,充当 内 部 客户 端的 Internet 安全 网 关 。Forefront TMG 计算 机 对 于 
通信 路 径 上 的 其 他 方 来 说 是 透明 的 ,Internet 用 户 应 该 无 法 判断 此 处 是 否 有 防火 墙 服务 器 
除非 用 户 试 图 访问 Forefront TMG 计算 机 拒绝 访问 的 网 络 服务 .协议 或 站 点 。 通 过 设置 安 
全 访问 策略 ,管理 员 可 以 防止 未 经 授权 的 访问 和 恶意 内 容 进 入 网 络 ,功能 如 下 。 
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(1) 多 层 通信 筛选 一 一 数据 包 级 别 、 线 路 级 别 和 应 用 程序 级 别 筛选 。 
(2) 智能 应 用 程序 层 警示 应 用 程序 筛选 器 。 

(3) 内 置信 侵 检测 。 

(4) 锁定 基本 操作 系统 的 系统 强化 。 


9.5 发 布 内 部 服务 器 


TMG 服务 器 在 为 局 域 网 用 户 提供 Internet 连接 共享 的 同时 ,也 提供 了 防火 墙 功 能 , 因 
为 内 网 用 户 使 用 的 都 是 私有 IP 地 址 ,这 样 ,外 网 用 户 就 无 法 通过 IP 地 址 直接 访问 。 但 网 络 
中 通常 需要 搭建 一 些 服务 器 向 Internet 提供 服务 ,如 Web、E-mail 服务 器 等 ,这 就 需要 利用 
TMG 创建 防火 墙 策略 ,将 内 部 服务 器 发 布 到 Internet。 


9.5.1 发 布 Web 网 站 


利用 TMG 的 “网 站 发 布 规则 ”, 可 以 将 网 络 中 的 Web 网 站 发 布 到 Internet。 现 在 要 将 网 站 
www. coolpen. net 发 布 到 Internet, 该 网 站 的 人 地 址 为 192. 168. 100. 61。 操 作 步 又 如 下 。 

(1) 在 Forefront TMG 控制 台中 , 右 击 “ 防 火 墙 策略 ?并 选择 快捷 菜单 中 的 “新 建 ”一 网 站 
发 布 规则 ”选项 ,启动 “新 建 Web 发 布 规则 向 导 ”。 在 “Web 发 布 规则 名 称 ” 文 本 框 为 新 规则 
设置 一 个 名 称 , 如 图 9-61 所 示 。 

(2) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 9-62 所 示 的 “请 选择 规则 操作 ”对 话 框 ,选中 “允许 ” 
单 选 按 钮 。 
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图 9-61 新 建 Web 发 布 规则 向 导 9-62 “请 选择 规则 操作 ”对 话 框 


(3) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 9-63 所 示 的 “发 布 类 型 "对 话 框 。 如 果 只 发 布 一 个 网 
站 或 一 个 网 站 的 群集 服务 器 ,可 选中 “发 布 单个 网 站 或 负载 平衡 器 " 单 选 按 钮 ,这 里 选择 该 
项 ; 如 果 发 布 Web 服务 器 上 的 多 个 站 点 , 则 选中 “发 布 多 个 网 站 ” 单 选 按钮 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 9-64 所 示 的 “服务 器 连接 安全 ”对 话 框 ,选中 “使 用 不 
安全 的 连接 连接 发 布 的 Web 服务 器 或 服务 器 场 ” 单 选 按 钮 。 

(5) 单 击 “下 一 步 ? 按 钮 .显示 如 图 9-65 所 示 的 “内 部 发 布 详细 信息 ”对 话 框 。 在 “内 部 
站 点 名 称 ” 文 本 框 中 输入 网 站 域名 ,如 www. coolpen. net, 选 中 “使 用 计算 机 名 称 或 IP 地 址 
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连接 到 发 布 的 服务 器 ” 复 选 框 ,在 “计算 机 名 称 或 IP 地 址 ”文本 框 中 输入 Web 服务 器 的 计算 
机 名 称 或 IP 地址 。 

(6) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 9-66 所 示 的 “内 部 发 布 详细 信息 ”对 话 框 ,在 “路 径 
(可 选 )” 文 本 框 中 输入 */ x*”。 
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图 9-65 “内 部 发 布 详细 信息 ”对 话 框 图 9-66 “内 部 发 布 详细 信息 ”对 话 框 


(7) 单 击 “下 一 步 ? 按 钮 ,显示 如 图 9-67 所 示 的 “公共 名 称 细 节 ” 对 话 框 。 在 “公用 名 称 ” 
文本 框 中 ,输入 发 布 到 Internet 上 的 名 称 。 

(8) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 9-68 所 示 的 “选择 Web 侦 听 器 "对话 框 。 为 发 布 的 站 
点 选择 Web 侦 听 器 。 在 Forefront TMG 中 ,每 个 绑 定 的 IP 地 址 (通常 是 Internet 地 址 ) 都 
可 以 创建 一 个 Web 侦 听 器 ,并 且 选 择 该 侦 听 器 作为 发 布地 址 。 默 认 情 况 下 没有 Web 侦 
听 器 。 

(9) 单 击 “ 新 建 "按钮 ,启动 “新 建 Web 侦 听 器 定义 向 导 ”。 连 续 单 击 “下 一 步 ? 按 钮 ,在 
“Web 侦 听 器 名 称 ” 文 本 框 中 输入 一 个 名 称 ,在 “客户 端 连接 安全 设置 ”对话 框 中 选中 “不 需 
要 与 客户 端 建立 SSL 安全 连接 ” 单 选 按 钮 ,如 图 9-69 所 示 。 

(10) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 9-70 所 示 的 “Web 侦 听 器 IP 地 址 ?对 话 框 ,选择 传 
入 Web 请 求 的 网 络 。 选 中 “外 部 ” 复 选 框 。 
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图 9-67 “公共 名 称 细节 ”对 话 框 


欢迎 使 用 新 建 web 侦 听 器 向 导 


图 9-68 “选择 Web 侦 听 器 ”对 话 框 
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图 9-69 新建 Web 侦 听 器 定义 向 导 


(11) 单 击 * 下 一 步 ?按钮 ,显示 如 图 9-71 所 示 的 “身份 验证 设置 "对话 框 。 如 果 Web 网 
站 没有 设置 身份 验证 ,在 “选择 客户 端 将 如 何 向 Forefront TMG 提供 凭据 ?下 拉 列 表 框 中 ， 


选择 “没有 身份 验证 ”选项 即 可 。 

(12) 连续 单 击 “ 下 一 步 ” 按 钮 ,显示 “正在 完成 
新 建 Web 侦 听 器 向 导 ” 对 话 框 ,表示 Web 侦 听 器 
已 经 创建 完成 ,如 图 9-72 所 示 。 

(13) 单 击 “ 完 成 ”按钮 返回 “选择 Web 侦 听 
器 ?对 话 框 。 在 “Web 侦 听 器 ”下 拉 列 表 框 中 即 可 
选择 侦 听 器 ,如 图 9-73 所 示 。 如 果 内 部 网 络 有 多 
个 不 同 的 Web 网 站 , 则 需要 创建 多 个 Web 侦 
听 器 。 

(14) 单 击 * 下 一 步 ?按钮 ,显示 如 图 9-74 所 示 的 
“身份 验证 委派 对话 框 ,在 下 拉 列 表 框 中 选择 “无 委 
派 ,客户 端 无 法 直接 进行 身份 验证 ?选项 。 


图 9-70 “Web 侦 听 器 IP 地 址 ”对 话 框 
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图 9-71 “身份 验证 设置 "对 话 框 
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图 9-72 新建 Web 侦 听 器 向 导 完 成 图 9-73 选择 Web 侦 听 器 


(15) 连续 单 击 “ 下 一 步 " 按 钮 ,在 “用 户 集 ? 对 话 框 中 使 用 默认 设置 即 可 ; 在 如 图 9-75 所 示 
的 “正在 完成 新 建 Web 发 布 规则 向 导 ” 对 话 框 , 单 击 “ 完 成 "按钮 。 
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图 9-74 “身份 验证 委派 ”对话 框 图 9-75 “完成 新 建 Web 发 布 规则 向 导 


(16) Web 发 布 规则 创建 完成 后 , 需 单 击 “ 应 用 ”按钮 便 可 使 配置 生效 。 
9.5.2 发 布 安全 Web 网 站 


安全 Web 站 点 使 用 https:// 方 式 进行 访问 ,并 且 默 认 使 用 TCP 的 443 端口 。 在 同一 
个 Web 服务 器 上 ,可 以 有 多 个 使 用 TCP 的 80 端口 的 普通 Web 站 点 ,但 只 能 有 一 个 使 用 
TCP 的 443 端口 的 安全 Web 站 点 ,如 果 想 在 一 个 Web 服务 器 上 提供 多 个 安全 Web 站 点 ， 
就 要 使 用 TCP 的 443 之 外 的 其 他 端口 。 

发 布 安全 的 Web 网 站 时 ,和 发 布 普通 Web 网 站 的 操作 步骤 一 样 ,只 是 在 “服务 器 连接 
安全 ”对 话 框 中 , 需 选中 “使 用 SSL 连接 到 发 布 的 Web 服务 器 或 服务 器 场 " 单 选 按 钮 ,如 
图 9-76 所 示 。 
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需要 注意 的 是 ,在 Forefront TMG 中 ,如 果 在 
同一 个 Web 站 点 中 既 提 供 普通 Web 站 点 转发 ,又 
提供 安全 的 Web 站 点 转发 ,那么 ,就 只 能 转发 安全 
的 Web 站 点 ,而 不 能 提供 普通 的 Web 站 点 转发 。 


9.5.3 发 布 邮件 服务 器 


利用 Forefront TMG 的 “邮件 服务 器 发 布 规 
则 ”, 可 以 将 使 用 SMTP、RPC、POP、IMAP 和 
NNTP 协议 的 邮件 服务 器 发 布 到 Internet。 需 要 


注意 的 是 ,由 于 邮件 服务 器 不 仅 需要 客户 端 访 问 ， os nn | 
而 且 与 Internet 上 的 其 他 邮件 服务 器 之 间 也 需要 图 9-76 ”发布 HTTPS 服务 器 


转发 邮件 。 因 此 ,需要 创建 两 个 策略 ,一 个 是 客户 
端 访问 ; 一 个 是 服务 器 与 服务 器 之 间 的 通信 。 

(1) 在 Forefront TMG 控制 台中 , 右 击 “防火 墙 策略 ”, 在 快捷 菜单 中 依次 选择 “新 建 ”~ 
“邮件 服务 器 发 布 规 则 ”选项 ,启动 “新 建 邮件 服务 器 发 布 规则 向 导 ”。 在 “邮件 服务 器 发 布 规 
则 名 称 ” 文 本 框 中 输入 一 个 名 称 , 单 击 * 下 一 步 " 按 钮 ,显示 如 图 9-77 所 示 的 “选择 访问 类 型 ” 
对 话 框 ,选中 “客户 端 访问 : RPC、IMAP、POP3、SMTP” 单 选 按钮 。 

(2) 单 击 “ 下 一 步 "按钮 ,显示 如 图 9-78 所 示 的 “选择 服务 ”对 话 框 ,根据 邮件 服务 器 使 
用 的 协议 ,选择 客户 端的 访问 方式 。 
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(3) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 9-79 所 示 的 “选择 服务 器 ”对 话 框 。 在 “服务 器 IP 地 
址 ”文本 框 中 ,输入 要 发 布 的 内 网 邮件 服务 器 的 IP 地 址 。 

(4) 单 击 * 下 一 步 ?按钮 ,显示 “网 络 侦 听 器 IP 地 址 ”对 话 框 ,选中 “外 部 ” 复 选 框 。 单 击 
“下 一 步 ” 按 钮 ,显示 如 图 9-80 所 示 的 “正在 完成 新 建 邮件 服务 器 发 布 规则 向 导 ” 对 话 框 。 

(5) 单 击 “ 完 成 ?按钮 ,邮件 服务 器 发 布 完成 。 

此 时 ,邮件 服务 器 就 可 以 通过 Forefront TMG 与 Internet 上 的 其 他 邮件 服务 器 互相 收 
发 邮件 ,Internet 上 的 用 户 也 可 以 使 用 Foxmail、Outlook 等 客户 端 程序 收发 邮件 。 不 过 ,为 
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图 9-79 “选择 服务 器 "对话 框 图 9-80 ”完成 新 建 邮件 服务 器 发 布 规则 向 导 


了 使 邮件 服务 器 之 间 能 够 通信 ,还 应 创建 一 条 规则 ,用 于 发 布 SMTP 服务 。 再 次 运行 “新 建 
邮件 服务 器 发 布 规则 向 导 ”, 在 “选择 访问 类 型 "对话 框 中 ,选中 “服务 器 到 服务 器 的 通讯 : 
SMTP、NNTP” 单 选 按钮 ; 在 “选择 服务 ”对 话 框 中 选中 SMTP 复 选 框 即 可 ,如 图 9-81 所 示 。 
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图 9-81 发 布 SMTP 服务 器 


9.5.4 发 布 Exchange Web 客户 端 访 问 


如 果 邮 件 服务 器 使 用 Exchange 2000、Exchange Server 2003 或 Exchange Server 2007 
搭建 ,那么 ,除了 发 布 邮件 服务 器 以 外 ,还 要 发 布 Exchange 的 Web 客户 端 访问 。 

(1) 在 Forefront TMG 控制 台中 , 右 击 “ 防 火 墙 策略 ”, 从 快捷 菜单 中 选择 新建” 一 
“Exchange Web 客户 端 访问 发 布 规则 ”选项 ,启动 “新 建 Exchange 发 布 规则 向 导 ”。 

(2) 单 击 “ 下 一 步 ” 按 钮 ,显示 “选择 服务 ”对 话 框 , 在 “Exchange 版 本 ”下 拉 列 表 框 中 选 
择 Exchange 版 本 ,在 “Web 客户 端 邮件 服务 ”选项 组 中 选中 Outlook Web Access 复 选 框 ， 
如 图 9-82 所 示 。 
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ss | 
图 9-82 “选择 服务 ”对 话 框 


(3) 连续 单 击 “ 下 一 步 ” 按 钮 ,在 “发 布 类 型 ”对话 框 中 选中 “发 布 单个 网 站 或 负载 平衡 
器 " 单 选 按 钮 。 在 “服务 器 连接 安全 ”对 话 框 中 选中 “使 用 不 安全 的 连接 连接 发 布 的 Web 服 
务 器 或 服务 器 场 " 单 选 按钮 ,如 图 9-83 所 示 。 

(4) 单 击 “下 一 步 ? 按 钮 ,显示 ”内 部 发 布 详细 信息 "对话 框 。 在 “内 部 站 点 名 称 ” 文 本 框 
中 ,输入 内 部 E-mail 站 点 的 名 称 , 例 如 mail. coolpen. net; 选中 * 使 用 计算 机 名 称 或 IP 地 址 
连接 到 发 布 的 服务 器 " 复 选 框 ,在 “计算 机 名 称 或 IP 地 址 "文本 框 中 ,输入 邮件 服务 器 的 计算 
机 名 称 或 IP 地 址 ,如 图 9-84 所 示 。 
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图 9-83 “服务 器 连接 安全 ”对话 框 图 9-84 “内 部 发 布 详细 信息 ”对 话 框 


(5) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 9-85 所 示 的 “公共 名 称 细 节 ” 对 话 框 。 在 “接受 请 求 ” 
下 拉 列 表 框 中 ,选择 “此 域名 (在 以 下 输入 )” 选 项 ; 在 “公用 名 称 ” 文 本 框 中 ,输入 邮件 服务 器 
的 域名 ,例如 mail. coolpen. net。 
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(6) 单 击 “ 下 一 步 ” 按 钮 ,在 “客户 端 连接 安全 设置 "对话 框 中 ,要 选中 “需要 与 客户 端 建 


立 SSL 安全 连接 ” 单 选 按 钮 ,并 单 击 " 下 一 步 ” 按 钮 ,在 “ 侦 听 器 SSL 证 书 ” 对 话 框 中 选择 SSL 
证 书 ,如 图 9-86 所 示 。 
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图 9-85 “公共 名 称 细节 ”对 话 框 图 9-86 选择 SSL 证 书 


(7) 单 击 “ 下 一 步 ” 按 钮 ,显示 “选择 Web 侦 听 器 ”对 话 框 。 需 要 创建 一 个 侦 听 器 ,用 来 
指向 Exchange Web 服务 器 的 IP 地 址 。 由 于 Exchange OWA 采用 HTTPS 方式, 因此 ,所 
创建 的 侦 听 器 也 应 该 使 用 HTTP 方式 ,如 图 9-87 所 示 。 

(8) 连续 单 击 “ 下 一 步 ” 按 钮 ,在 “身份 验证 委派 ”对 话 框 的 下 拉 列 表 框 中 ,选择 “无 委派 ， 
客户 端 无 法 直接 进行 身份 验证 ”选项 。 在 “正在 完成 新 建 Exchange 发 布 规则 向 导 ” 对 话 框 
中 单 击 “ 完 成 ”按钮 即 可 ,如 图 9-88 所 示 。 
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图 9-87 “选择 Web 侦 听 器 ”对 话 框 9-88 规则 创建 完成 


(9) 单 击 * 应 用 ”按钮 ,使 设置 生效 即 可 。 
9.5.5 知识 链接 : 服务 器 发 布 
公司 网 络 通常 也 需要 向 Internet 提供 服务 ,如 Web 网 站 、 电 子 邮 件 服务 等 。 因 此 ， 
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Forefront TMG 也 提供 了 发 布 服务 器 功能 ,可 以 在 不 危及 内 部 网 络 安全 的 情况 下 将 服务 发 
布 到 Internet。 组 织 可 以 配置 Web 发 布 规则 和 服务 器 发 布 规则 ,来 确定 哪些 请 求 向 下 游 发 
送 到 位 于 TMG 服务 器 防火 墙 后 的 服务 器 ,以 便 为 内 部 服务 器 提供 增强 的 安全 层 。 所 有 转 
发 的 通信 对 TMG 服务 器 的 监控 状态 得 选 和 检测 引擎 都 是 公开 的 。 

例如 ,Microsoft Exchange 服务 器 可 以 放置 在 TMG 服务 器 后 ,可 以 创建 服务 器 发 布 规 
则 ,来 允许 对 Exchange 简单 邮件 传输 协议 (SMTP)、POP3、 Internet 邮件 访问 协议 
(IMAP4) 和 网 络 对 网 络 传输 协议 (NNTP) 服 务 进行 SSL 保护 的 远程 访问 。Forefront TMG 
SMTP 消息 筛选 程序 对 传人 到 Exchange 服务 器 的 电子 邮件 进行 侦 听 。 然 后 , Forefront 
TMG SMTP 消息 筛选 程序 可 以 对 SMTP 通信 进行 筛选 ,并 将 它 转发 给 Exchange 服务 器 。 
Exchange 服务 器 从 不 直接 对 外 部 用 户 公开 ,而 是 保留 在 安全 的 环境 中 ,维护 对 其 他 内 部 网 
络 服务 的 访问 ,具有 以 下 功能 。 

(1) 简便 的 安全 服务 器 发 布 向 导 。 

(2) 用 于 透明 客户 端 连接 和 服务 器 发 布 的 SecureNAT。 

(3) 已 发 布 的 服务 ,包括 超 文 本 传输 协议 /安全 套 接 字 层 (HTTP/SSL)、FTP、SMTP、 
POP3、IMAP4、NNTP、DNS、RDP、H. 323、 流 媒体 等 。 


习题 


1. 简 述 Forefront TMG 的 主要 功能 。 

2. Forefront TMG 服务 器 将 网 络 分 割 为 哪 几 部 分 ? 是 如 何 实现 安全 防护 的 ? 
3. 如 何 通 过 TMG 服务 器 禁止 某 些 用 户 访问 Internet? 

4. 如 何 将 内 网 服务 器 发 布 到 Internet? 


实验 : 禁止 内 部 用 户 访问 危险 网 站 


实验 目的 : 

掌握 如 何 通 过 TMG 服务 器 控制 内 网 安全 访问 Internet。 

实验 内 容 

通过 TMG 服务 器 阻止 部 分 用 户 访 问 指定 的 Web 站 点 。 

实验 步骤 : 

(1) 在 企业 网 络 边缘 部 署 TMG 服务 器 。 

(2) 在 域 控制 器 上 创建 用 于 实验 测试 的 用 户 组 ,并 将 测试 账户 添加 到 组 中 。 

(3) 在 TMG 服务 器 上 创建 域名 集 , 并 将 禁止 访问 的 Web 站 点 域名 添加 到 域名 集中 。 

(4) TMG 服务 器 的 防火 墙 策略 中 新 建 访问 规则 ,限制 指定 用 户 组 访问 域名 集中 的 
Web 站 点 。 

(5) 使 用 测试 用 户 账户 登录 网 络 ,尝试 访问 被 禁止 的 Web 站 点 ,验证 实验 效果 。 


远程 访问 是 大 多 数 企 业 网 络 的 必 备 功能 ,员工 出 差 、 在 家 办 公 、 分 支部 门 与 总 部 网 络 共 
享 资源 等 都 离 不 开 远 程 访问 。VPN(Virtual Private Network ,虚拟 专用 网 ) 是 目前 常用 的 
远程 访问 技术 之 一 ,主要 特点 就 是 安全 可 靠 , 机 制 灵活 ,费用 低廉 ,易于 实现 。Windows 系 
统 内 管 了 VPN 客户 端 组 件 ,客户 端 只 需 经 过 简单 配置 ,借助 Internet 即 可 拨 叫 到 VPN 服 
务 器 ,访问 内 网 资源 。 


10.1 远程 安全 接 入 规划 


目前 广泛 应 用 的 VPN 都 是 基于 Internet 的 ,而 Internet 是 高 度 开放 的 ,因此 ,安全 性 仍 
然 是 VPN 用 户 最 关注 的 问题 。 通 常情 况 下 ,VPN 主要 采用 4 项 技术 来 保证 通信 安全 ,分 别 
是 隧道 技术 (Tunneling)、 加 解密 技术 (Encryption and Decryption)、 密 钥 管 理 技术 (Key 
Management)、 使 用 者 与 设备 身份 认证 技术 (Authentication) 。 部 署 安全 接 人 系统 之 前 , 必 
须 结 合 实际 需要 选择 适当 的 安全 接 人 方式 。 


10.1.1 案例 情景 


该 企业 在 外 地 有 两 家 分 支 机 构 ,每 天 都 要 将 当天 的 业务 数据 传 回 到 总 部 网 络 。 由 于 总 
部 网 络 和 分 支 网 络 都 已 经 接 和 人 Internet, 因 此 通常 都 是 通过 E-mail 或 即时 消息 软件 将 数据 
信息 传输 到 总 公司 。 其 实 , 这 种 方式 存在 很 大 的 安全 隐患 。E-mail 邮箱 的 安全 性 是 很 低 
的 ,尤其 是 一 些 意义 重大 的 机 密 数 据 , 绝 对 不 可 以 通过 E-mail 传输 ,甚至 绝对 不 能 接触 到 
Internet。 至 于 即时 消息 软件 的 安全 性 就 更 差 了 ,不 仅 无 法 对 通信 双方 的 身份 进行 验证 ,而 
且 传 输 过 程 都 是 未 经 加 密 的 ,传输 数据 很 容易 被 截获 和 算 改 。 

目前 该 企业 总 部 网 络 采用 100Mbps 光纤 线路 接 入 Internet, 网 络 中 的 所 有 计算 机 均 经 
过 防火 墙 连接 到 Internet。 两 家 分 支 机 构 的 计算 机 数量 在 30 台 左 右 。 鉴 于 大 部 分 内 部 信 
息 资源 的 特殊 性 和 机 密 性 ,对 用 户 身 份 认证 ,传输 过 程 具有 较 高 的 可 靠 性 和 可 控 性 要 求 , 因 
此 该 公司 计划 利用 VPN 技术 组 建 虚拟 网 。 


10.1.2 项 目 需求 


远程 访问 VPN 系统 主要 包括 VPN 服务 器 和 VPN 客户 端 。 对 于 该 项 目 而 言 ,VPN 服 
务 器 需要 部 署 在 企业 总 部 网 络 , Windows Server 2008 服务 器 、 路 由 器 、 防 火 墙 等 都 可 以 提 
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供 VPN 服务 器 功能 。 至 于 VPN 客户 端 则 对 分 支 网 络 用 户 没 有 特殊 要 求 。 为 了 确保 通信 
安全 ,需要 采取 SSL .IPSec 等 安全 措施 ,确保 远程 访问 VPN 链接 的 可 靠 性 和 机 密 性 。 鉴 于 
当前 的 实际 情况 和 需求 ,部署 的 VPN 系统 将 满足 如 下 要 求 。 

1. 安全 连接 ,多 种 验证 技术 

支持 细 化 的 权限 管理 ,可 以 单独 设置 某 台 计算 机 或 某 用 户 能 或 不 能 访问 指定 的 资源 或 
指定 的 服务 。 支 持 用 户 与 计算 机 绑 定 ( 硬 件 授权 、 定 机 定 人 )、USB KEY 可 选 一 次 性 口令 或 
短信 认证 等 ,有 效 防范 移动 客户 端 扩散 失控 ; 支持 客户 端 计算 机 之 间 相 互 访问 ,客户 端 计算 
机 接 人 VPN 后 禁止 访问 Internet。 

2. 运行 稳定 ,高 效 可 靠 

为 保证 VPN 业务 实时 处 理 和 连续 工作 ,中 心 VPN 网 关 (VPN 服务 器 或 者 硬件 设备 ) 
要 求 确保 网 络 系统 的 正常 连通 。 

3. 升级 和 扩展 性 

网 络 设备 应 能 快速 适应 各 分 支 机 构 接 入 的 动态 增 减 ,并 在 增 减 过 程 中 ,对 已 部 署 好 的 分 
支 机 构 及 移动 客户 端 没 有 影响 ,同时 考虑 未 来 的 业务 模式 增长 ,要 求 设备 支持 软 硬 件 的 扩展 
升级 。 

4. 性 能 优化 

中 心 VPN 网 关 (VPN 服务 器 或 者 硬件 设备 ) 能 够 通过 业务 分 类 和 定义 优先 级 别 , 实 现 
智能 化 的 拥塞 控制 .QoS 功能 。 

5. 智能 化 网 络 管理 

企业 总 部 能 对 各 分 支 VPN 网 关 ( 如 有 ) 集 中 控制 .集中 管理 .集中 监控 .远程 维护 ,以 节 
省 管理 和 维护 成 本 。 

6. 业务 系统 应 用 模式 

集团 部 署 的 业务 系统 中 ,部 分 采用 C/S 结构 模式 ,例如 新 闻 业 务 处 理 系统 ,该 业务 系统 
和 Windows Server 2008 Active Directory 结合 ,同时 结合 Windows 身份 验证 模式 访问 数据 
库 , 部 署 的 VPN 系统 将 支持 该 业务 应 用 模式 。 

网 络 中 部 署 网 络 防 病毒 系统 ,VPN 客户 端 计 算 机 可 以 使 用 总 部 防 病毒 服务 器 进行 自动 
升级 。 总 部 与 分 支 机 构 之 间 的 计算 机 可 以 相互 访问 ,通过 NETBIOS 名 实现 相互 的 访问 和 
数据 传输 。 可 以 实时 访问 总 部 的 网 络 资源 以 及 数据 库 系统 。 

7. 支持 断 线 重 拨 技 术 

为 了 保证 拨号 网 络 的 稳定 性 ,VPN 设备 集成 自动 拨号 软件 ,在 拨号 中 断后 ,5s 内 可 以 
重 拔 。 网 络 物理 连接 恢复 正常 后 ,VPN 隧道 将 在 lmin 内 自动 建立 ,从 而 保证 系统 迅速 
恢复 


VPN 系统 部 署 成 功 后 ,以 VPN 网 络 为 基础 ,将 企业 总 部 、 分 支 机 构 和 移动 用 户 连接 成 
为 一 个 局 域 网 ,轻松 实现 数据 流 实时 同步 和 远程 办 公文 件 共 享 等 功能 。 局 域 网 内 的 所 有 应 
用 都 可 以 扩展 到 远程 分 支 机 构 和 移动 用 户 , 从 而 真正 实现 了 企业 范围 内 的 系统 共享 化 和 信 
息 一 体 化 。 


10.1.3 解决 方案 
目前 ,企业 总 部 拥有 100Mbps 光纤 接 人 Internet 的 基础 环境 ,并 且 拥 有 多 个 公 网 IP 地 
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址 ; 总 部 网 络 设备 架构 相当 完善 ,通过 Cisco 三 层 交 换 机 实现 合理 的 子 网 划分 和 跨 网 段 管理 
功能 。 

1. 拓扑 结构 

总 部 网 络 VPN 服务 器 的 WAN 口 配置 一 个 单独 的 公 网 IP 地 址 ,内 网 接口 连接 至 内 网 
交换 机 上 。 分 支 机 构 中 的 VPN 客户 端 用 户 可 以 通过 Internet 连接 拨 叫 到 VPN 服务 器 ,从 
而 建立 隧道 连接 。 通 过 在 VPN 服务 器 上 配置 静态 路 由 和 扩大 IPSec 子 网 掩 码 功能 ,使 所 有 
远 端 客户 端 计算 机 对 总 部 所 有 VLAN 的 数据 访问 均 可 以 通过 三 层 交 换 机 IP 到 达 , 实 现 基 
于 IPSec 协议 的 双向 隧道 通信 ; 总 部 所 有 客户 端 计算 机 对 互联 网 的 访问 , 仍 通过 现 有 的 防 
火 墙 做 数据 转发 。 

其 他 分 支 机 构 及 出 差 的 移动 用 户 , 通 过 在 计算 机 上 安装 VPN 客户 端 软件 或 使 用 SSL 
协议 ,只 要 可 以 访问 Internet, 就 可 以 安全 地 接 入 总 部 内 网 ,与 相应 的 服务 器 、 客 户 端 计算 机 
之 间 实 现 双向 数据 访问 。 远 程 接 入 VPN 的 实现 方式 有 多 种 ,在 当前 企业 网 络 中 ,可 以 借助 
路 由 器 和 防火 墙 实现 ,也 可 以 通过 搭建 专用 VPN 服务 器 实现 。 图 10-1 所 示 为 搭建 专用 
VPN 服务 器 时 的 网 络 拓扑 结构 。 


SQ 移动 客户 端 国 : 
| 分 支 1 
| 
1 


图 10-1 VPN 系统 拓扑 结构 


2. VPN 协议 的 选择 

Windows Server 2008 支持 如 下 远程 访问 VPN 协议 。 

(1) PPTP: PPTP 使 用 PPP 用 户 身 份 验 证 和 MPPE 加 密 。 当 使 用 具有 强壮 密码 的 
MS-CHAP v2 或 PEAP-MS-CHAP v2 时 ,PPTP 是 一 种 安全 的 VPN 技术 。 对 于 基于 证 书 
的 身份 验证 ,EAP-TLS 可 与 基于 注册 的 证 书 或 智能 卡 一 同 使 用 。PPTP 被 广泛 支持 ,易于 
配置 ,可 用 于 大 部 分 网 络 地 址 转换 (NAT)。Windows Server 2008、 Windows Vista、 
Windows Server 2003 和 Windows XP 均 支 持 PPTP。 

(2) L2TP/IPSec: L2TP 利用 PPP 用 户 身份 验证 和 IPSec 数据 包 保 护 。L2TP/IPSec 
使 用 证 书 (默认 ) 和 IPSec 计算 机 级 的 身份 验证 过 程 来 协商 受 保护 的 IPSec 会 话 , 然 后 基于 
PPP 的 用 户 身份 验证 来 认证 VPN 客户 端 计算 机 的 用 户 。 通 过 使 用 IPSec,L2TP/IPSec 为 
每 个 数据 包 提供 了 数据 机 密 性 (加 密 ) ,数据 完整 性 (证 明 数 据 没有 在 传输 过 程 中 被 修改 ) 和 
数据 的 原始 认证 (证 明 数 据 由 授权 用 户 发 出 )。 但 是 L2TP/IPSec 需要 PKI 为 每 个 基于 
L2TP/IPSec 的 VPN 客户 端 分 配 计算 机 证 书 。Windows Server 2008、Windows Vista、 
Windows Server 2003 和 Windows XP 均 支持 L2TP/IPSec。 

(3) SSTP: SSTP 利用 PPP 用 户 身 份 验证 ,为 封装 和 加 密使 用 SSL 上 的 HTTP 通道 。 
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因为 SSTP 使 用 SSL 通信 (使 用 TCP 端口 443) ,所 以 SSTP 可 用 于 多 种 不 同 的 网 络 配置 ， 
如 位 于 NAT、 防 火 墙 或 不 支持 PPP 或 L2TP/IPSec 通信 的 代理 服务 器 之 后 的 VPN 客户 端 
或 服务 器 。 只 有 Windows Server 2008 和 Windows Vista SP1 支持 SSTP 。 

为 远程 VPN 连接 选择 加 密 协议 时 ,应 遵循 如 下 原则 。 

(1) 当 使 用 PEAP-MS-CHAP v2、EAP-MS-CHAP v2 或 MS-CHAP v2 身份 验证 时 ， 
PPTP 不 需要 证 书 基 础 结构 来 为 每 个 VPN 客户 端 发 布 证 书 。 

(2) 基于 PPTP 的 VPN 连接 为 数据 包 提供 数据 机 密 性 (加 密 )。 基 于 PPTP 的 VPN 连 
接 不 提供 数据 完整 性 或 数据 原始 认证 。 

(3) 通过 使 用 IPSec, 基于 L2TP/IPSec 的 VPN 连接 提供 数据 机 密 性 、 数 据 完 整 性 和 数 
据 原始 认证 。 

(4) 基于 SSTP 的 VPN 连接 客户 端 和 服务 器 可 置 于 NAT、 防 火 墙 或 Web 代理 之 后 。 
但 是 ,SSTP 不 支持 位 于 身份 验证 Web 代理 之 后 的 VPN 客户 端 和 服务 器 。 

(5) 默认 情况 下 ,运行 Windows Server 2008 的 VPN 服务 器 同时 支持 这 3 种 VPN 连 
接 类 型 。 对 于 没有 安装 计算 机 证 书 的 VPN 客户 端 ,用 户 可 以 使 用 PPTP。 对 于 安装 了 计算 
机 证 书 的 VPN 客户 端 ,用 户 可 以 使 用 L2TP/IPSec。 对 于 运行 Windows Vista SP1 的 VPN 
客户 端 使 用 SSTP。 

(6) 如 果 用 户 正 在 联合 使 用 VPN 协议 ,用 户 可 以 为 PPTP、L2TP/IPSec 或 SSTP 连接 
创建 单独 的 网 络 策略 ,定义 不 同 的 连接 设置 。 

(7) 在 Windows Server 2008 和 Windows Vista 中 ,IPv6 通信 可 通过 基于 PPTP 的 
VPN 连接 作为 IPv4 隧道 通信 进行 发 送 , 或 者 在 VPN 隧道 中 进行 本 地 IPv6 通信 。 

(8) 在 Windows Server 2008 和 Windows Vista 中 ,L2TP/IPSec 或 SSTP 的 VPN 连接 
支持 作为 IPv4 隧道 通信 的 IPv6 通信 、VPN 隧道 内 的 IPv6 通信 ,以 及 IPv6 之 上 的 VPN 连接 。 

3. VPN 服务 器 

基于 Windows Server 2008 系统 远程 访问 功能 的 VPN 连接 ,有 如 下 配置 要 求 。 

(1) VPN 服务 器 的 Internet 接口 和 内 网 接口 必须 拥有 静态 IP 地 址 。 由 于 默认 路 由 冲 
突 的 可 能 性 ,用 户 应 该 使 用 IPv4 地 址 手动 配置 内 网 接口 . 子 网 掩 码 .DNS 服务 器 和 WINS 
服务 器 。 但 是 ,不 要 配置 VPN 服务 器 内 网 接口 的 默认 网 关 。 这 样 才 可 能 使 VPN 服务 器 拥 
有 手动 TCP/IP(IPv4) 配 置 ,并 且 使 用 DHCP 获取 IPv4 地 址 。 

(2) 对 于 使 用 PEAP-MS-CHAP v2、EAP-TLS 或 PEAP-TLS 身份 验证 协议 的 VPN 连 
接 , 用 户 必须 在 身份 验证 服务 器 上 安装 VPN 客户 端 可 以 验证 的 计算 机 证 书 。 用 户 也 可 能 
需要 在 VPN 客户 端 上 安装 身份 验证 服务 器 的 计算 机 证 书 的 发 行 CA 的 根 CA 证 书 。 

(3) 对 于 基于 SSTP 的 VPN 连接 ,用 户 必 须 在 VPN 服务 器 上 安装 VPN 客户 端 可 以 验 
证 的 计算 机 证 书 。 用 户 也 可 能 需要 在 VPN 客户 端 上 安装 VPN 服务 器 的 计算 机 证 书 的 发 
行 CA 的 根 CA 证 书 。 

(4) 对 于 基于 L2TP/IPSec 的 VPN 连接 .用 户 必 须 在 VPN 服务 器 上 安装 VPN 客户 端 
可 以 验证 的 计算 机 证 书 。 

(5) 如 果 用 户 为 本 地 身份 验证 或 为 RADIUS 身份 验证 配置 VPN 服务 器 ,并 且 
RADIUS 服务 器 是 运行 NPS 的 计算 机 ,. 则 上 默认 网 络 策略 将 会 拒绝 所 有 类 型 的 连接 尝试 , 除 
非 远 程 访问 允许 的 用 户 账户 拨号 属性 允许 访问 的 。 如 果 用 户 想 要 为 VPN 连接 使 用 该 网 络 
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策略 , 则 设置 策略 类 型 为 “允许 访问 ”。 如 果 用 户 想 要 通过 组 或 连接 类 型 管理 授权 和 VPN 
连接 设置 , 则 用 户 必须 配置 其 他 NPS 策略 。 

4. VPN 客户 端 

部 署 VPN 客户 端 时 应 遵循 如 下 原则 。 

(1) 如 果 VPN 客户 端 数 量 较 少 , 则 可 以 在 每 台 计算 机 上 执行 VPN 连接 的 手动 配置 。 

(2) 如 果 VPN 客户 端 数量 较 多 ,或 者 分 别 运行 不 同 Windows 版 本 , 则 建议 使 用 
Windows Server 2008 的 CM 组 件 创建 包含 VPN 配置 设置 的 CM 配置 文件 ,并 且 对 于 拨号 
连接 ,需要 维护 电话 簿 数据 库 。 

(3) 对 于 L2TP/IPSec 连接 ,用 户 必须 在 VPN 客户 端 计算 机 上 安装 计算 机 证 书 。 

(4) 对 于 PEAP-TLS 或 EAP-TLS 身份 验证 方式 ,用 户 必 须 在 VPN 客户 端 上 安装 用 户 
证 书 , 或 者 为 用 户 发 布 智能 卡 。 

(5) 对 于 SSTP 连接 ,用 户 必须 确保 VPN 客户 端 安装 了 VPN 服务 器 的 计算 机 证 书 的 
发 布 CA 的 根 CA 证 书 。 

(6) 对 于 PEAP-MS-CHAP v2 或 PEAP-TLS 身份 验证 方式 ,如 果 VPN 客户 端 验证 了 
认证 服务 器 的 证 书 ( 推 荐 ) ,那么 用 户 必 须 确保 VPN 客户 端 安 装 了 身份 验证 服务 器 的 计算 
机 证 书 的 发 布 CA 的 根 CA 证 书 。 

5. VPN 客户 端的 内 网 和 Internet 并 存 访问 

默认 情况 下 , 当 基于 Windows 的 VPN 客户 端 建立 VPN 连接 时 ,会 自动 为 VPN 连接 
添加 新 的 默认 路 由 ,并 且 修 改 现 有 默认 路 由 , 即 断 开 客 户 端 计算 机 到 VPN 服务 器 之 外 的 所 
有 其 他 Internet 连接 。 为 了 防止 创建 新 的 默认 路 由 ,用 户 可 以 配置 VPN 连接 不 使 用 远程 网 
络 的 默认 网 关 。 

(1) 在 “控制 面板 ”的 “网 络 连接 ”窗口 中 , 右 击 VPN 网 络 连接 并 选择 “属性 ”选项 ,显示 
“VPN 连接 属性 ”对 话 框 ,切换 到 “网 络 ” 选 项 卡 中 ,双击 "Internet 协议 版 本 (TCP/IPv4)” 项 
目 , 显 示 “Internet 协议 版 本 4(TCP/IPv4) 属 性 ”对 话 框 ,如 图 10-2 所 示 。 

(2) 单 击 “ 高 级 ”按钮 ,显示 “高 级 TCP/IP 设置 ”对 话 框 。 在 “IP 设置 ?选项 卡 中 ,取消 选 
中 “在 远程 网 络 上 使 用 默认 网 关 ” 复 选 框 即 可 ,如 图 10-3 所 示 。 
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图 10-2 “Internet 协议 版 本 4(TCP/IPv4) 属 性 ”对 话 框 10-3 “高 级 TCP/IP 设置 ”对话 框 
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经 过 上 述 设置 后 ,在 建立 连接 时 将 不 会 创建 默认 路 由 。 但 是 ,符合 分 配 IPv4 地 址 的 
Internet 地 址 类 的 路 由 将 会 被 创建 。 例 如 ,如 果 分 配 的 地 址 为 10. 0. 12. 119, 那 么 基于 
Windows 的 VPN 客户 端 会 使 用 子 网 掩 码 255. 0. 0. 0 为 地 址 前 级 10. 0. 0. 0 创建 路 由 。 

“在 远程 网 络 上 使 用 默认 网 关 ” 选 项 的 功能 如 下 。 

(1) 如 果 取 消 此 复 选 框 , 则 客户 端 计算 机 连接 到 VPN 服务 器 时 仍 可 以 访问 Internet， 
除了 符合 分 配 IP 地 址 的 地 址 类 的 可 以 到 达 内 网 ,其 他 不 可 到 达 内 网 。 

(2) 如 果 选 中 此 复 选 框 , 则 所 有 内 网 位 置 都 可 到 达 , 除 了 VPN 服务 器 的 地 址 和 通过 其 
他 路 由 的 可 以 到 达 Internet, 其 他 不 可 到 达 Internet。 

对 于 大 部 分 连接 Internet 的 VPN 客户 端 ,这 种 行为 不 能 说 明 问题 ,因为 它们 通常 参与 内 
网 或 Internet, 而 不 是 参与 这 两 者 。 因 此 ,系统 默认 选中 “在 远程 网 络 上 使 用 默认 网 关 ” 复 选 框 。 
对 于 需要 并 存 访问 内 网 和 Internet 资源 的 VPN 客户 端 , 用 户 可 以 完成 如 下 操作 之 一 。 

(1) 选中 “在 远程 网 络 上 使 用 默认 网 关 ” 复 选 框 ,并 且 人 允许 通过 企业 内 网 访问 Internet。 
在 VPN 客户 端 和 Internet 主机 之 间 的 Internet 通信 将 会 穿 过 防火 墙 或 代理 服务 器 。 尽 管 
在 性 能 上 会 有 所 影响 ,但 是 当 VPN 客户 端 连接 着 企业 网 络 时 ,这 种 方式 允许 Internet 访问 
被 筛选 ,并 且 根 据 企 业 网 络 策略 进行 监视 。 

(2) 如 果 内 网 中 的 IPv4 寻 址 是 根据 单一 分 类 的 地 址 前 缀 , 则 可 以 取消 选中 “在 远程 网 
络 上 使 用 默认 网 关 ” 复 选 框 。 

(3) 如 果 内 网 中 的 IPv4 寻 址 不 是 根据 单一 分 类 的 地 址 前 缀 , 则 用 户 可 以 使 用 如 下 解决 方式 。 

中 无 等 级 静态 路 由 DHCP 选项 。 

@ 连接 管理 工具 。 

@ 在 VPN 客户 端 上 的 命令 文件 。 


10.2 安装 和 配置 Windows VPN 


Windows Server 2008 系统 已 经 集成 了 路 由 和 远程 访问 功能 ,用 户 只 需 稍 加 配置 即 可 用 作 
VPN 服务 器 ,并 且 Windows 系统 用 户 还 可 以 通过 创建 相应 的 VPN 专用 网 络 连 接 ,成 为 VPN 
客户 端 。 这 种 VPN 实现 方式 操作 简便 ,投资 最 少 ,是 广大 中 小 企业 网 络 用 户 的 首选 。 


10.2.1 前 期 准备 工作 


部 署 远程 安全 访问 VPN 系统 需要 用 到 域 控制 器 、 证 书 服务 器 等 基本 组 件 ,实施 之 前 必 
须 做 好 各 项 准备 工作 。 

1. 准备 域 环境 

在 网 络 中 准备 域 控 制 器 ,证 书 服务 器 \ 安 全 策略 服务 器 等 可 以 部 署 在 其 他 成 员 服 务 器 上 。 

2. 设置 IP 地 址 

VPN 服务 器 需要 安装 两 块 网 卡 , 一 块 用 来 连接 局 域 网 ; 另 一 块 用 来 连接 Internet, 供 远 
程 用 户 拨 局 域 网 。 将 连接 局 域 网 的 本 地 连接 ,设置 局 域 网 IP 地 址 ,如 图 10-4 所 示 。DNS 服 
务 器 设置 为 域 控制 器 的 IP 地 址 ,用 来 加 入 域 。 

将 另 一 个 连接 Internet 的 本 地 连接 的 IP 地 址 设置 为 Internet 上 有 效 的 IP 地 址 ,如 
图 10-5 所 示 。 
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图 10-4 设置 内 网 全 地 址 图 10-5 设置 外 网 IP 地 址 
3. 加 入 域 


配置 VPN 远程 访问 之 前 ,应 将 VPN 服务 器 加 入 到 域 。 首 先 将 VPN 服务 器 的 DNS 服 
务 器 地 址 指向 域 控制 器 ,然后 在 “服务 器 管理 器 ”窗口 中 , 单 击 “ 更 改 系 统 属性 ”链接 ,显示 “ 系 
统 属性 ”对 话 框 。 在 “计算 机 名 ”选项 卡 中 , 单 击 “ 更 改 ” 按 钮 ,显示 如 图 10-6 所 示 的 “计算 机 
名 / 域 更 改 ” 对 话 框 ,选中 * 域 " 单 选 按 钮 ,并 输入 域名 。 单 击 “ 确 定 ” 按 钮 ,显示 “Windows 安 
全 ”对 话 框 ,在 “用户 名 ”和 “密码 ”文本 框 中 ,输入 具有 加 入 域 权限 的 用 户 名 和 密码 即 可 。 

单 击 “ 确 定 ” 按 钮 即 可 加 入 域 。 根 据 系 统 提示 重新 启动 系统 ,使 用 域 用 户 账户 登录 即 可 。 

4. 安装 并 设置 DHCP 服务 器 

当 远 程 客户 端 拨 入 局 域 网 以 后 ,需要 获得 相应 的 局 域 网 IP 地 址 ,才能 访问 局 域 网 中 的 
资源 。 因 此 ,需要 在 网 络 中 部 署 DHCP 服务 器 ,创建 作用 域 并 启用 网 络 访问 保护 。 需 要 注 
意 的 是 ,一 定 要 进行 授权 ,否则 无 法 向 客户 端 分 配 IP 地 址 。 另 外, 如果 不 想 安装 DHCP 服 
务 器 ,也 可 以 在 配置 “路 由 和 远程 服务 器 ”的 过 程 中 设置 分 配给 客户 端的 IP 地 址 范围 。 
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图 10-6 “计算 机 名 / 域 更 改 ” 对 话 框 图 10-7 “tianjl 属性 ”对 话 框 


5. 配置 拨 入 用 户 账户 


在 Active Directory 中 ,创建 用 于 远程 用 户 连接 VPN 服务 器 的 用 户 组 ,并 将 远程 分 支 
机 构 用 户 对 应 的 用 户 账户 添加 到 组 中 。 双 击 远程 访问 的 用 户 账户 (以 tianjl 用 户 账户 为 
例 ) ,显示 如 图 10-7 所 示 的 “tianjl 属性 ”对 话 框 。 在 “网 络 访问 权限 ”选项 区 域 ,选中 “允许 访 
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问 " 单 选 按钮 ,其 他 选项 保持 默认 设置 , 单 击 “确定 ”按钮 ,保存 设置 即 可 。 
10.2.2 安装 和 配置 VPN 服务 器 


VPN 服务 器 用 来 提供 拨 入 功能 , 供 远程 计算 机 用 户 拨 入 公司 局 域 网 。 不 过 ,VPN 服务 
可 以 与 网 络 策略 服务 器 配合 使 用 ,对 拨 入 的 客户 端 用 户 进行 验证 ,只 允许 通过 网 络 安全 验证 
的 计算 机 才 允 许 访问 网 络 。VPN 服务 器 上 需要 安装 两 块 网 卡 , 一 块 网 卡 设置 内 网 地 址 ,用 
来 连接 局 域 网 ; 另 一 块 设置 公 网 地 址 ,用 来 连接 Internet。 另 外 ,如 果 硕 望 使 用 L2TP/IPSec 
或 SSTP 安全 连接 ,还 必须 为 VPN 服务 器 安装 计算 机 证 书 。 

1. 安装 远程 访问 服务 


(1) 单 击 * 添 加 角色 向 导 ? 链 接 , 在 “选择 服务 器 角色 "对话 框 中 ,选中 * 网 络 策略 和 访问 
服务 ” 复 选 框 ,如 图 10-8 所 示 。 
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图 10-8 “选择 服务 器 角色 ”对 话 框 


(2) 单 击 “下 一 步 "按钮 ,显示 “网 络 策略 和 访问 服务 对话 框 ,显示 了 网 络 策略 和 访问 服 
务 的 简介 信息 。 单 击 “ 下 一 步 ?按钮 ,显示 如 图 10-9 所 示 的 “选择 角色 服务 "对话 框 。 由 于 只 
配置 VPN 服务 器 ,因此 ,选中 “路 由 和 远程 访问 服务 " 复 选 框 即 可 。 


ET 
器 同 络 策略 和 访问 服务 


si] [Es 
SA 


TDEE EE 
3 选择 角色 服务 
< 


< [下 六 = | 朵 


图 10-9 “选择 角色 服务 ”对 话 框 
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(3) 单 击 “ 下 一 步 " 按 钮 ,显示 “确认 安装 选择 ”对 话 框 ,显示 了 将 要 安装 的 角色 。 单 击 
“安装 ”按钮 开始 安装 。 完 成 后 显示 如 图 10-10 所 示 的 “安装 结果 ”对 话 框 。 
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图 10-10 “安装 结果 ”对 话 框 


(4) 单 击 “ 关 闭 ” 按 钮 ,远程 访问 服务 安装 完成 。 
2. 配置 路 由 和 远程 访问 服务 


远程 访问 服务 安装 完成 后 ,默认 并 没有 启动 ,需要 启用 路 由 和 远程 访问 功能 。 同 时 ,由 


于 VPN 强制 需要 将 远程 拔 和 的 用 户 向 NPS 服务 器 进行 身份 验证 ,以 检查 远程 计算 机 是 否 
符合 策略 要 求 , 因 此 ,还 必须 配置 RADIUS 服务 器 。 


(1) 依次 选择 “开始 ”>“ 管 理工 具 ” 一 “路 由 和 远程 访问 ”选项 ,打开 “路 由 和 远程 访问 ” 
控制 台 窗口 ,如 图 10-11 所 示 ,默认 没有 启用 路 由 和 远程 访问 功能 。 
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图 10-11 “路 由 和 远程 访问 ”控制 台 窗口 


(2) 右 击 服务 器 名 并 选择 快捷 莱 单 中 的 “配置 并 启用 路 由 和 远程 访问 ?选项 ,启动 “路 由 
和 远程 访问 服务 器 安装 向 导 ”。 依 次 单 击 * 下 一 步 按 钮 ,设置 远程 访问 方法 和 类 型 ,如 
图 10-12 所 示 。 
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图 10-12 配置 远程 访问 方法 和 类 型 


(3) 依次 单 击 * 下 一 步 按 钮 ,显示 如 图 10-13 所 示 的 “VPN 连接 ”对 话 框 ,设置 VPN 远 
程 访问 服务 器 的 网 络 连接 。 配 置 VPN 远程 访问 服务 器 至 少 提供 两 块 网 卡 , 即 一 块 连接 
Internet, 响 应 远程 用 户 的 访问 ; 另 一 块 用 于 连接 内 网 。 在 “网 络 接口 ?列表 中 选择 连接 到 
Internet 的 接口 即 可 。 

(4) 单 击 “ 下 一 步 "按钮 ,管理 员 可 以 指定 远程 客户 端 获得 IP 地 址 的 方式 ,如 果 本 地 网 
络 中 已 经 配置 DHCP 服务 器 , 则 可 以 选择 “自动 ”方式 ,客户 端 可 以 从 DHCP 服务 器 获得 内 
网 IP 地址。 否则 ,可 以 选中 “来 自 一 个 指定 的 地 址 范围 " 单 选 按 钮 ,如 图 10-14 所 示 。 
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(5) 单 击 “ 下 一 步 ”按钮 ,显示 “管理 多 个 远程 访问 服务 器 ”对 话 框 。 如 果 计 划 在 专用 网 
络 上 安装 多 个 VPN 服务 器 、 无 线 访问 点 或 其 他 RADIUS 客户 端 , 则 添加 RADIUS 服务 器 
非常 有 用 ,本 例 中 选中 “是 ,设置 此 服务 器 与 RADIUS 服务 器 一 起 工作 ” 单 选 按 钮 。 单 击 “ 下 
一 步 ” 按 钮 ,显示 “RADIUS 服务 器 选择 ”对 话 框 ,输入 主 、 辅 RADIUS 的 配置 信息 即 可 ,如 
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图 10-15 所 示 。 
(6) 单 击 “ 下 一 步 ” 按 钮 , 即 可 完成 VPN 服务 器 配置 ,此 时 会 提示 用 户 在 设置 远程 访问 


服务 器 以 后 ,需要 再 指定 DHCP 服务 器 的 IP 地 址 ,如 图 10-16 所 示 。 
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图 10-15 设置 RADIUS 身份 验证 选项 图 10-16 完成 VPN 远程 访问 服务 器 的 配置 


(7) 连续 单 击 “ 确 定 ” 和 “完成 ”按钮 , 即 可 完成 VPN 服务 器 的 配置 ,显示 如 图 10-17 所 
示 的 配置 结果 。 


| 


10-17 ”VPN 服务 器 配置 完成 


3. 配置 静态 路 由 和 RIP 路 由 

VPN 远程 连接 目的 是 以 安全 方式 访问 内 网 资源 , 仅 建立 VPN 客户 端 到 VPN 服务 器 
的 连接 是 不 够 的 。 管 理 员 必 须 为 远程 拔 入 用 户 设 置 路 由 信息 ,以 确保 其 可 以 访问 内 网 服务 
器 或 网 络 设备 。 为 了 使 VPN 服务 器 能 够 在 内 网 中 正确 访问 ,管理 员 必 须 完 成 如 下 工作 
天 

@ 添加 内 网 使 用 的 IPv4 和 IPv6 地 址 空间 的 静态 路 由 。 本 例 中 使 用 IPv4 协议 。 

@ 如 果 用 户 在 内 网 使 用 RIP IPv4 路 由 连接 VPN 服务 器 , 现 有 添加 RIP 路 由 协议 , 保 
证 VPN 服务 器 可 以 与 临近 的 RIP 路 由 器 交换 路 由 ,并 且 为 内 网 子 网 自动 添加 路 由 到 路 由 
表 中 。 
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配置 静态 路 由 和 RIP 路 由 的 步 又 如 下 。 


(1) 打开 “路 由 和 远程 访问 "窗口 ,在 左 侧 的 窗 格 中 选择 IPv4 节点 , 右 击 “静态 路 由 ”, 在 
弹出 的 快捷 菜单 中 选择 “新 建 静 态 路 由 ”选项 ,显示 如 图 10-18 所 示 的 “IPv4 静态 路 由 ”对话 
框 ,为 静态 路 由 选择 适当 的 “接口 "“ 目 标 "“ 网 络 掩 码 ”“ 网 关 ” 和 “路 点 数 "。 单 击 “ 确 定 ” 按 
钮 , 即 可 创建 到 内 网 的 静态 路 由 。 
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图 10-18 添加 IPv4 静态 路 由 


(2) 在 “路 由 和 远程 访问 "窗口 左 侧 窗 格 中 选择 IPv4 节点 。 碳 击 * 常 规 ”, 在 弹出 的 快捷 


菜单 中 选择 “新 建 路 由 协议 ”选项 ,显示 如 图 10-19 所 示 的 “新 路 由 协议 ”对 话 框 ,选中 “用 于 
Internet 协议 的 RIP 版 本 2” 路 由 协议 。 
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10-19 将 VPN 服务 器 配置 为 RIP 路 由 器 


(3) 单 击 “ 确 定 ” 按 钮 返回 “路 由 和 远程 访问 ”对 话 框 。 右 击 RIP, 在 弹出 的 快捷 菜单 中 
选择 “新 增 接口 ”选项 ,显示 如 图 10-20 所 示 的 “用 于 Internet 协议 的 RIP 版 本 2 的 新 接口 ” 
对 话 框 ,选择 VPN 服务 器 内 网 网 卡 即 可 。 

(4) 单 击 “ 确 定 ” 按 钮 ,显示 如 图 10-21 所 示 的 “RIP 属性 - 外 网 属性 ”对 话 框 ,根据 现 有 
配置 RIP 路 由 协议 参数 ,建议 使 用 默认 值 即 可 。 

(5) 单 击 “确定 ”按钮 ,完成 RIP 路 由 协议 的 配置 。 
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图 10-20 “用 于 Internet 协议 的 RIP 版 本 2 的 图 10-21 “RIP 属性 - 外 网 属性 ”对 话 框 
新 接口 "对话 框 


4. 部 署 * 自 动 证 书 申请 设置 "策略 

SSL VPN 和 IPSec VPN 的 客户 端 访问 服务 器 时 都 要 用 到 证 书 进行 身份 验证 。 总 部 网 
络 中 部 署 的 企业 根 证 书 服务 器 支持 加 入 域 的 计算 机 自动 申请 证 书 ,通过 “自动 证 书 申请 设 
移 " 策 略为 域 中 的 计算 机 自动 颁发 证 书 。 

(1) 以 域 管理 员 身份 登录 到 域 控 制 器 ,选择 “开始 ”>“ 管 理工 具 ”>“ 组 策略 管理 ”选项 ， 
打开 如 图 10-22 所 示 的 “组 策略 管理 ”窗口 。 依 次 展开 “组 策略 管理 ”一 “ 林 :coolpen. net" 一 
“ 域 ”一 coolpen. net 一 Default Domain Policy 策略 。 


IDefault Domain Policy 
人 |i 和 | 设 是 | 委 条 | 
匡 扒 


10-22 “组 策略 管理 ”窗口 


(2) 右 击 Default Domain Policy 策略 选择 快捷 菜单 中 的 “编辑 ”选项 ,显示 如 图 10-23 所 示 
的 “组 策略 管理 编辑 器 ”窗口 。 依 次 展开 “计算 机 配置 "~“ 策 略 ”>“Windows 设置 ">“ 安 全 
设置 ”>“ 公 钥 策略 >“ 自动 证 书 申请 设置 ”选项 , 右 击 “自动 证 书 申请 设置 "选项 ,在 弹出 的 
快捷 菜单 中 选择 “新 建 ”>“ 自 动 证 书 申请 ”选项 ,启动 “自动 证 书 申请 设置 向 导 ”。 

(3) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 10-24 所 示 的 “证 书 模板 ”对 话 框 。 在 “证 书 模板 ” 列 
表 中 选择 “计算 机 ”模板 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 10-25 所 示 的 “正在 完成 自动 证 书 申请 设置 向 导 ” 对 
话 框 。 单 击 “完成 ”按钮 ,成 功 创建 新 的 策略 。 
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欢迎 使 用 自动 证 书 申请 设置 向 导 
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要 继续 ， 请 单 击 “下 一 步 ” 
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图 10-23 “组 策略 管理 编辑 器 ”窗口 


正在 完成 自动 证 书 申请 设置 向 导 


E 时 各 VR 下 过 下 二 设 向 。 


您 所 过 的 证 书 模板 列表 如 下 
名 计算 机 
: 四 


图 10-24 “证 书 模板 "对 话 框 图 10-25 “正在 完成 自动 证 书 申请 设置 向 导 ” 对 话 框 


: 划 


< 上- 步 四 [下 - 先 四 Wl 


10.2.3 配置 SSL VPN 


SSL VPN 技术 是 VPN 安全 技术 的 主要 发 展 方向 ,大 多 数 VPN 设备 以 及 Windows 
Server 2008 和 Windows Vista SP1 都 支持 该 技术 。SSL VPN 技术 主要 应 用 于 远程 访问 
VPN ,并 且 支 持 Web 方式 的 VPN 连接 。 

1. 验证 VPN 服务 器 的 计算 机 证 书 

部 署 SSL VPN 服务 器 需要 从 Active Directory 证 书 服务 器 中 得 到 证 书 , 如 果 没 有 配置 
证 书 ,SSL VPN 客户 端 计算 机 将 不 能 连接 到 SSL VPN 服务 器 。SSL VPN 服务 器 使 用 的 证 
书 可 以 通过 部 署 的 域 组 策略 自动 完成 申请 以 及 注册 。 

(1) 以 管理 员 账 户 登 录 VPN 服务 器 ,新 建 一 个 控制 台 窗 口 , 单 击 “ 文 件 ” 菜 单 ,选择 “ 添 
加 或 删除 管理 单元 ”选项 ,在 “可 用 的 管理 单元 "列表 中 选中 “证 书 ” 并 单 击 “ 添 加 ”按钮 ,选中 
“计算 机 账户 ” 单 选 按 钮 并 单 击 “ 下 一 步 ” 按 钮 .在 “选择 计算 机 ”对 话 框 中 选中 “本 地 计算 机 ” 
单 选 按钮 , 单 击 “ 完 成 ”按钮 将 其 添加 到 “所 选 管理 单元 ”列表 中 ,如 图 10-26 所 示 。 

(2) 在 “证 书 ” 管 理 控制 台中 ,依次 展开 “证 书 ( 本 地 计算 机 )” 一 “个 人 ”一 “证 书 ” 选 项 ， 
检查 是 否 已 经 自动 注册 了 计算 机 证 书 ,双击 证 书 名 称 即 可 查看 证 书 的 详细 信息 ,如 
图 10-27 所 示 。 
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图 10-27 检查 VPN 服务 器 的 计算 机 证 书 


提示 : 如 果 VPN 服务 器 没有 自动 注册 到 计算 机 证 书 , 则 需要 手动 为 其 向 企业 根 CA 申 
请 计算 机 证 书 。 

2. 创建 SSL VPN 客户 端 

只 有 运行 Windows Vista 操作 系统 和 Windows Server 2008 操作 系统 的 计算 机 才 支 持 
SSL VPN 客户 端 ,Windows XP/2000/2003 操作 系统 不 支持 SSL VPN 客户 端 。 

(1) 打开 “网 络 和 共享 中 心 ”窗口 , 单 击 “ 设 置 连接 或 网 络 " 链 接 ,打开 “选择 一 个 连接 选 
项 ”对 话 框 ,选择 “连接 到 工作 区 ”选项 。 单 击 “ 下 一 步 ” 按 钮 , 既 可 以 选择 通过 Internet 连接 
建立 VPN 连接 ,也 可 以 选择 直接 拨号 方式 建立 VPN 连接 。 单 击 * 使 用 我 的 Internet 连接 
(VPN) ?选项 ,显示 ”键入 要 连接 的 Internet 地 址 ”对 话 框 ,在 “Internet 地 址 ”文本 框 中 输入 
VPN 服务 器 的 域名 或 公 网 IP 地 址 , 既 可 以 是 IPv4 地 址 ,也 可 以 是 IPv6 地 址 。 在 “目标 名 
称 ”文本 框 中 输入 进行 VPN 连接 时 显示 的 名 称 , 如 图 10-28 所 示 。 

提示 : 为 了 确保 此 拨号 连接 的 安全 ,可 以 设置 相应 的 安全 措施 。 


10-28 设置 连接 方式 和 VPN 服务 器 信息 


Qa 使 用 智能 卡 。 智 能 卡 是 包含 用 户 账 户 重要 信息 的 芯片 ,使 用 时 需 将 个 人 专用 智能 卡 
插入 计算 机 的 读 卡 器 ,如 果 提 供 的 身份 信息 通过 系统 验证 , 则 可 以 使 用 该 连接 ,否则 将 无 法 
应 用 。 使 用 智能 卡 比 使 用 密码 更 能 提高 安全 级 别 , 但 实现 成 本 也 较 高 。 

@ 允许 其 他 人 使 用 此 连接 。 人 允许 当前 计算 机 上 的 任何 用 户 账户 使 用 此 连接 ,登录 到 
VPN 服务 器 。 

(2) 单 击 “下 一 步 ? 按 钮 ,分 别 在 “用 户 名 ”和 ”密码 "文本 框 中 ,输入 VPN 服务 器 上 指派 
的 用 于 VPN 拨 叫 的 用 户 账户 和 密码 即 可 。 单 击 * 连 接 ” 按 钮 , 即 可 尝试 连接 到 远程 VPN 服 
务 器 ,如 图 10-29 所 示 。 成 功 连 接 后 , 即 可 像 在 同一 局 域 网 中 一 样 ,使 用 VPN 服务 器 连接 的 
子 网 中 的 各 种 资源 。 


10-29 设置 身份 验证 信息 并 尝试 连接 


如 果 以 后 需要 使 用 VPN 连接 远程 网 络 时 ,可 在 “网 络 和 共享 中 心 ” 中 单 击 “ 管 理 网 络 连 
接 ” 链 接 , 在 “网 络 连 接 ” 窗 口中 双击 所 创建 的 VPN 连接 ,显示 如 图 10-30 所 示 的 “连接 VPN 
连接 ”对 话 框 , 单 击 “ 连 接 ” 按 钮 即 可 连接 。 而 右 击 VPN 连接 并 选择 快捷 菜单 中 的 “ 断 开 ” 选 


项 , 则 可 断 开 VPN 连接 。 
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(3) 打开 “网 络 连 接 ” 窗 口 。 右 击 已 创建 的 VPN 连接 ,在 弹出 的 快捷 菜单 中 选择 “属性 ” 
选项 ,显示 如 图 10-31 所 示 的 “VPN 连接 属性 ”对 话 框 。 切 换 到 “网 络 ” 选 项 卡 , 在 “VPN 类 
型 "下 拉 列 表 框 中 ,选择 “安全 套 接 字 隧道 协议 (SSTP)" 选 项 , 当 VPN 客户 端 计 算 机 证 书 设 


置 成 功 后 , 即 可 登录 SSL VPN 服务 器 。 
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3. 配置 VPN 客户 端 证 书信 任 
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图 10-31 “VPN 连接 属性 ”对 话 框 


VPN 客户 端 登录 VPN 服务 器 之 前 必须 先 通过 证 书 身份 验证 , 即 必须 建立 客户 端 与 
VPN 服务 器 所 在 网 络 的 证 书 服务 器 的 证 书信 任 。 
(1) 以 域 用 户 身 份 通过 SSL VPN 客户 端 模式 连接 到 内 部 网 络 中 ,打开 Internet 
Explorer 浏览 器 ,在 地 址 栏 中 输入 *http:// 企 业 根 证 书 服务 器 /certsrv” 并 按 Enter 键 ,打开 
证 书 服务 Web 窗口 。 单 击 “ 下 载 CA 证 书 \ 证 书 链 或 CRL” 链 接 ,显示 如 图 10-32 所 示 的 窗口 。 
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要 下 载 一 个 CA 证 书 、 证 书 链 咏 CRL , 选择 证 书 和 编码 方法 - 
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图 10-32 证 书 服务 Web 窗口 
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(2) 单 击 “下 载 CA 证 书 ? 链 接 ,显示 如 图 10-33 所 示 的 “文件 下 载 -安全 警告 对话 框 ,可 
以 直接 打开 ,也 可 以 单 击 “ 保 存 ” 按 钮 ,暂时 保存 在 本 地 计算 机 。 

(3) 单 击 “ 打 开 ” 按 钮 ,显示 如 图 10-34 所 示 的 “证 书 ” 对 话 框 ,在 “常规 ”选项 卡 中 单 击 
“安装 证 书 ” 按 钮 ,启动 “证 书 导入 向 导 ”。 
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图 10-33 “文件 下 载 -安全 警告 "对 话 框 图 10-34 “证 书 ” 对 话 框 


(4) 单 击 * 下 一 步 "按钮 ,显示 如 图 10-35 所 示 的 “证 书 存储 ”对 话 框 ,选中 “将 所 有 的 证 
书 放 入 下 列 存储 ” 单 选 按钮 , 单 击 “ 浏 览 ” 按 钮 ,在 “选择 证 书 存储 ”对 话 框 中 选择 “受信 任 的 根 
证 书 颁发 机 构 ” 并 单 击 “ 确 定 ”按钮 。 

(5) 单 击 “ 下 一 步 ”按钮 ,显示 “正在 完成 证 书 导 入 向 导 ” 对 话 框 。 单 击 “ 完 成 ”按钮 ,关闭 
“证 书 导入 向 导 ”, 显 示 如 图 10-36 所 示 的 “安全 性 警告 "对 话 框 。 单 击 “ 是 ”按钮 ,提示 证 书 导 
和 人 成功。 


图 10-35 “证 书 存储 ”对话 框 图 10-36 “安全 性 警告 ”对话 框 


4. VPN 客户 端 连 接 

(1) 打开 “网 络 连 接 ” 窗 口 , 右 击 已 创建 的 VPN 连接 ,在 弹出 的 快捷 菜单 中 选择 “连接 ” 
命令 ,显示 “连接 到 VPN 连接 ”对 话 框 。 由 于 在 设置 过 程 中 ,已 经 输入 登录 SSL VPN 服务 
器 用 户 名 和 密码 ,在 该 对 话 框 中 自动 输入 用 户 名 、 密 码 以 及 目标 域 。 单 击 “ 连 接 ” 按 钮 , 即 可 
开始 连接 ,成 功 连接 后 “VPN 连接 ”的 状态 会 显示 为 “已 连接 ”, 如 图 10-37 所 示 。 

(2) 右 击 已 连接 的 “VPN 连接 ”, 在 弹出 的 快捷 菜单 中 选择 “状态 ”选项 ,显示 如 
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图 10-37 SSL VPN 客户 端 连接 


图 10-38 所 示 的 “VPN 连接 状态 ”对 话 框 。 
(3) 切换 到 “详细 信息 ”选项 卡 , 显 示 如 图 10-39 所 示 的 “详细 信息 ”选项 卡 。 列 表 中 的 
“设备 名 ” 值 表示 远程 客户 端 计算 机 通过 SSL 模式 连接 到 SSL VPN 服务 器 。 


| 


10-38 “VPN 连接 状态 ”对 话 框 10-39 “详细 信息 ”选项 卡 


10.2.4 配置 IPSec VPN 


与 SSL VPN 相 比 ,IPSec VPN 技术 更 早 一 些 , 对 客户 端 系统 要 求 也 相对 较 低 。 
Windows XP/2003/Vista/2008 都 可 以 配置 为 IPSec VPN 客户 端 。IPSec VPN 主要 应 用 于 
远程 网 络 互联 VPN, 即 点 对 点 VPN ,当然 也 可 以 用 于 部 署 远程 访问 VPN。 此 处 仍 以 配置 
远程 访问 IPSec VPN 为 例 介绍 主要 实现 过 程 。 管 理 员 可 以 通过 共享 密 钥 和 证 书 两 种 方式 
部 署 IPSec VPN。 

1. 共享 密 钥 配置 IPSec VPN 

通过 预先 指定 IPSec VPN 双方 使 用 的 身份 验证 密 钥 (共享 密 钥 ), 可 以 快速 建立 VPN 
通信 。 需 要 注意 的 是 ,由 于 采用 预先 共享 密 钥 的 验证 方式 ,其 安全 性 比 采 用 凭证 验证 的 方式 
来 得 差 , 因 此 只 建议 使 用 在 测试 环境 ,不 建议 使 用 在 正式 环境 中 。IPSec VPN 服务 器 的 搭 
建 和 配置 过 程 与 前 面 介绍 的 SSL VPN 大 致 相同 .这 里 只 介绍 不 同 之 处 。 
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(1) VPN 服务 器 的 配置 

在 VPN 服务 器 上 打开 “路 由 和 远程 访问 "窗口 , 右 击 VPN 服务 器 名 称 并 选择 快捷 菜单 
中 的 “属性 ”选项 ,显示 如 图 10-40 所 示 的 “VPN( 本 地 ) 属性 ”对 话 框 ,在 “安全 ”选项 卡 中 选 
中 “允许 L2TP 连接 使 用 自 定义 IPsec 策略 " 复 选 框 ,并 在 “ 预 共 享 的 密 钥 "文本 框 中 输入 一 
个 自 定义 密 钥 ,例如 123456。 客 户 端 需要 设置 与 VPN 服务 器 完全 相同 的 共享 密 钥 ,否则 无 
法 建立 连接 。 

单 击 “ 确 定 ” 按 钮 ,保存 设置 。 此 时 系统 会 提示 重新 启动 “路 由 和 远程 访问 ”服务 后 更 改 
才 会 生效 ,按照 提示 重启 服务 即 可 。 
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图 10-40 “VPN( 本 地 ) 属性 ”对 话 框 图 10-41 “IPsec 设置" 对 话 框 


(2) VPN 客户 端的 配置 

登录 到 VPN 客户 端 计算 机 , 右 击 创建 好 的 VPN 拨号 连接 ,选择 快捷 菜单 中 的 “属性 ” 
选项 ,打开 “VPN 连接 属性 "窗口 ,切换 到 “网 络 " 选 项 卡 , 在 “VPN 类 型 ”下拉 列表 框 中 选择 
L2TP IPsec VPN 选项 , 单 击 “IPSec 设置 ”按钮 ,显示 如 图 10-41 所 示 的 “IPsec 设置 ”对 话 
框 ,选中 “使 用 预 共 享 的 密 钥 作 身 份 验证 ” 单 选 按 钮 ,并 在 “ 密 钥 ”文本 框 中 输入 与 服务 器 端 完 
全 相同 的 密 钥 。 最 后 ,连续 单 击 “ 确 定 ” 按 钮 ,保存 设置 。 

(3) 测试 配置 结果 

在 VPN 客户 端 计算 机 上 ,双击 VPN 拨号 连接 ,使 
用 预先 设 定 的 用 户 名 和 密码 拨 叫 到 VPN 服务 器 上 。 
右 击 已 成 功 连接 的 VPN 连接 ,选择 快捷 菜单 中 的 “ 状 
态 ” 选 项 ,显示 如 图 10-42 所 示 的 “VPN 连接 状态 ”对 
话 框 ,在 “详细 信息 ”选项 卡 的 “设备 名 ”中 可 以 看 到 此 
时 使 用 的 协议 是 L2TP。 

2. 使 用 证 书 配置 IPSec VPN 连接 

使 用 数字 证 书 作 为 IPSec VPN 通信 双方 身份 验证 
的 方式 ,显然 比 预 共享 密 钥 更 加 安全 ,因此 在 实现 机 制 
上 也 稍 显 复杂 一 些 ,与 SSL VPN 一 样 ,需要 用 到 证 书 
服务 器 。 接 下 来 的 测试 工作 仍然 基于 配置 SSL VPN 图 10-42 “VPN 连接 状态 "对话 框 
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之 前 的 基础 环境 。 

(1) 服务 器 端的 配置 

由 于 在 先前 的 准备 工作 中 已 经 部 署 了 “自动 证 书 申请 设置 "策略 ,证 书 服务 器 可 以 自动 
为 VPN 服务 器 和 VPN 客户 端 分 配 计算 机 证 书 , 因 此 也 就 无 须 一 一 为 服务 器 和 客户 端 注册 
计算 机 证 书 。 不 过 ,还 需要 建立 VPN 服务 器 和 CA 之 间 的 证 书信 任 , 即 下 载 证 书 服务 器 的 
CA 证 书 或 证 书 链 , 并 将 其 导入 到 VPN 服务 器 “受信 任 的 根 证书 颁 发 机 构 ” 中 ,如 图 10-43 
所 示 。 


el Ee 


图 10-43 ”建立 VPN 服务 器 到 CA 的 证 书信 任 关系 


(2) 客户 端的 配置 
与 VPN 服务 器 端 相 同 ,IPSec VPN 客户 端 也 需要 申请 计算 机 证 书 和 配置 证 书信 任 ( 如 
图 10-44 所 示 ) ,操作 方法 此 处 不 再 袭 述 。 
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IPSec VPN 客户 端 连接 的 与 SSL VPN 客户 端 类 似 ,只 是 需要 在 连接 之 前 进行 一 些 必 
要 的 连接 模式 更 改 。 仍 然 以 Windows Vista 客户 端 为 例 , 右 击 创建 好 的 VPN 网 络 连接 , 选 
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择 快 捷 菜单 中 的 “属性 ?选项 ,打开 如 图 10-45 所 示 
的 “VPN 连接 属性 ?对 话 框 . 切 换 到 “网 络 ? 选 项 | [ 鲁 林 二 林 二 可 RE 
卡 , 在 “VPN 类 型 "下 拉 列 表 框 中 选择 L2TP IPsec | 本 ze ee 
VPN 选项 , 单 击 “IPsec 设置 ?按钮 ,显示 “IPsec 设 
置 ? 对 话 框 , 选 中 “将 证 书 用 于 身份 验证 ” 单 选 按 
钮 ,并 选中 “验证 服务 器 证 书 的 Name 和 Usage 属 
(3) 测试 配置 结果 
VPN 客户 端 成 功 连接 到 VPN 服务 器 后 , 双 


团队 服务 短 汪 9 ye 和 Vsses 属性 ) 


CD CW 


击 VPN 网 络 连 接 , 即 可 查看 其 详细 状态 信息 ,与 一 
使 用 共享 密 钥 方式 建立 IPSec VPN 连接 客户 端 相 图 10-45 “VPN 连接 属性 ?对话 框 
同 ,此 处 不 再 歼 述 。 


10.2.5 知识 链接 : VPN 的 应 用 类 型 .SSL VPN 和 IPSec VPN 


1. VPN 的 应 用 类 型 

VPN 本 身 就 是 一 种 为 远程 访问 提供 安全 保障 的 技术 ,因此 通常 应 用 于 连接 异地 局 域 
网 ,并且 实现 安全 通信 。 一 般 来 说 ,VPN 适用 于 3 种 情况 : 通过 Internet 实现 远程 用 户 访 
问 .通过 Internet 实现 网 络 互联 和 连接 内 部 网 络 计算 机 。 

(1) 远程 用 户 访问 

VPN 允许 用 户 安全 地 通过 Internet 远程 访问 企业 资源 ,与 使 用 专线 拨打 长 途 或 电话 连 
接 企业 的 网 络 接 入 服务 器 (NAS) 不 同 ,VPN 用 户 首先 拨 通 本 地 ISP 的 NAS, 然 后 VPN 软 
件 利用 与 本 地 ISP 建立 的 连接 ,在 拨号 用 户 和 VPN 服务 器 之 间 创 建 一 个 跨越 Internet 或 其 
他 公共 互联 网 络 的 虚拟 专用 网 络 。 例 如 ,用 户 想 要 在 家 中 计算 机 上 访问 公司 网 络 中 的 机 密 
数据 ,首先 家 庭 计算 机 向 本 地 ISP 发 出 请 求 , 然 后 通过 Internet 拨 叫 到 公司 网 络 的 VPN 服 
务 器 ,从 而 在 两 者 之 间 创 建 一 条 虚拟 通道 ,其 工作 模式 如 图 10-46 所 示 。 

(2) 网 络 互联 

使 用 VPN 技术 还 可 以 建立 异地 局 域 网 之 间 的 安全 连接 。 首 先 在 每 个 局 域 网 中 配置 一 
台 VPN 服务 器 ,然后 将 其 接 人 Internet', 并 人 允许 接收 拨 入 请 求 和 向 对 端 发 送 连接 请 求 ,这 样 
即 可 实现 异地 网 络 的 安全 互联 (如 图 10-47 所 示 ) 。 


AS 


B 地 服务 器 


Internet A 地 服务 器 Internet 


图 10-46 ”用户 远 程 访问 局 域 网 图 10-47 使 用 专线 连接 异地 局 域 网 


(3) 连接 内 部 网 络 计 算 机 
在 企业 的 内 部 网 络 中 , 某 些 部 门 可 能 存储 有 重要 数据 ,为 确保 数据 的 安全 性 ,传统 的 方 
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式 只 能 是 把 这 些 部 门 同 整个 企业 网 络 断 开 ,形成 孤立 的 小 网 络 。 这 样 做 虽然 保护 了 部 门 的 
重要 信息 ,但 是 由 于 物理 上 的 中 断 ,造成 其 他 部 门 的 用 户 之 间 通 信 困 难 。 

采用 VPN 方案 时 ,通过 一 台 VPN 服务 器 既 可 实现 与 整个 企业 网 络 的 连接 ,又 能 保证 
保密 数据 的 安全 性 。 而 路 由 器 虽然 也 能 够 实现 网 络 之 间 的 互联 ,但 是 并 不 能 对 流向 敏感 网 
络 的 数据 进行 限制 。 企 业 网 络 管理 人 员 通 过 使 用 VPN 服务 器 ,指定 只 有 符合 特定 身份 要 
求 的 用 户 才 能 连接 并 获得 访问 敏感 信息 的 权利 。 此 外 ,可 以 对 所 有 VPN 数据 进行 加 密 , 从 
而 确保 数据 的 安全 性 。 

2. SSL VPN 和 IPSec VPN 

SSL VPN 和 IPSec VPN 均 支 持 远 程 访问 VPN, 相 比较 而 言 SSL VPN 具有 部 署 简单 ， 
无 客户 端 ,维护 成 本 低 ,网 络 适应 强 等 特点 。SSL VPN 和 IPSec VPN 技术 的 详细 对 比如 
表 10-1 所 示 。 


表 10-1 SSL VPN 和 IPSec VPN 对 比 


比较 项 目 SSL VPN IPSec VPN 
远程 网 络 互联 VPN( 必 须 使 用 IPSec VPN) 
VPN 网 络 类 型 远程 访问 VPN 为 主 也 支持 远程 访问 VPN 
Web 应 用 为 主 CS 应 用 ,甚至 三 层 应 用 为 主 
单项 应 用 访问 为 主 双向 应 用 访问 
人 不 支持 VOIP 类 协议 需要 支持 VOIP 类 协议 
无 广播 包 类 型 应 用 有 广播 包 类 型 应 用 
合作 伙伴 或 者 客户 、 内 部 用 户 ,移动 
用 户 类 型 用 户 内 可 用 户 
使 用 无 法 控制 的 设备 接 人 的 用 户 能 明确 使 用 手 控 的 设备 接 人 的 移动 用 户 
计算 机 .掌上 电脑 .手机 等 ,操作 系 主要 是 计算 机 ,操作 系统 类 型 单一 ,例如 全 
统 种 类 复杂 部 是 Windows 
人 a 需要 专业 的 IT 部 门 或 设备 供应 商 维护 
VPN 终端 


10.3 ”配置 路 由 器 VPN 


路 由 器 是 每 个 企业 网 络 的 必 备 设备 之 一 。 目 前 大 多 数 路 由 器 产品 都 已 经 集成 VPN 功 
能 , 它 不 同 于 提供 专业 VPN 模块 插 模 的 模块 化 路 由 器 ,无 须 增加 任何 投资 即 可 获得 高 效 可 
靠 的 VPN 连接 。 但 是 ,这 类 VPN 网 络 的 性 能 直接 取决 于 路 由 器 本 身 ,高 性 能 的 路 由 器 往 
往 可 以 支持 更 多 数量 的 VPN 客户 端 ,并 且 可 靠 性 也 较 高 。 

并 非 所 有 的 路 由 器 产品 都 可 以 用 来 实现 VPN 连接 ,这 取决 于 路 由 器 硬件 支持 和 IOS 
版 本 两 个 方面 。 

版 本 较 早 的 路 由 器 和 宽带 路 由 器 本 身 就 没有 提供 VPN 功能 ,以 Cisco 路 由 器 为 例 ， 
Cisco 800 系列 的 宽带 路 由 器 中 很 少 提供 VPN 支持 ,并 且 在 后 来 的 Cisco 2600 系列 产品 中 ， 
部 分 产品 也 只 能 提供 功能 简单 的 VPN 支持 , 尚 无 法 支持 许多 高 级 别 的 加 密 算法 。 不 仅 如 
此 ,在 当前 许多 新 型 的 Cisco 模块 化 路 由 器 中 ,也 取消 了 VPN 支持 ,取而代之 的 是 专用 
VPN 模块 插 槽 。 


eal 


人 


312 


计算 机 网 络 雪 侍 


如 果 确 认 路 由 器 硬件 可 以 支持 VPN, 则 还 要 看 运行 的 软件 系统 是 否 支 持 。 仍 以 Cisco 
路 由 器 为 例 , 有 些 版 本 的 IOS 是 不 支持 VPN 功能 
的 ,即使 路 由 器 本 身 支持 该 功能 ,也 无 法 顺利 实现 , 必 
须 升级 或 降级 到 相应 版 本 的 IOS 才 可 以 。 

另外 ,借助 路 由 器 实现 VPN 时 ,必须 使 用 防火 
墙 作 为 Internet 接 入 设备 ,此 时 的 路 由 器 只 做 VPN 


服务 器 ,为 远程 访问 用 户 提 供 专线 接 入 。 图 10-48 所 VPN 接 入 
示 为 用 路 由 器 做 VPN 服务 器 时 的 Internet 接 入 区 拓 图 10.48 配置 路 由 器 VPN 时 的 Internet 
扑 结构 。 接 人 区 示意 图 


10.4 配置 防火 墙 YPN 


防火 墙 的 主要 功能 是 防御 外 来 和 人 侵 ,确保 内 网 安全 ,VPN 只 是 其 附加 功能 之 一 。 防 火 
墙 VPN 与 路 由 器 VPN 相 比 ,安全 性 更 高 。 如 今 大 部 分 防火 墙 产品 都 配备 了 专业 管理 程 
序 , 尤 其 是 不 熟悉 CLI 配置 方式 的 用 户 , 只 需 借助 向 导 即 可 顺利 完成 VPN 的 配置 。Cisco 
ASA 5500 系列 自 适应 安全 设备 是 Cisco 推出 的 下 一 代 防 火 墙 安全 解决 方案 , 它 提供 了 新 一 
代 的 安全 性 和 VPN 服务 的 模块 化 平台 ,支持 SSL 加 密 的 远程 访问 VPN 和 网 络 互 联 VPN。 
管理 员 可 以 通过 Cisco ASDM 以 Web 方式 进行 远程 管理 和 控制 。 


10.4.1 配置 远程 访问 VPN 


远程 访问 VPN 非常 适用 于 远程 移动 用 户 ,借助 Internet 或 其 他 公用 网 络 , 实 现 与 公司 
网 络 的 安全 、 廉价 连 接 。 图 10-49 所 示 为 IPSec VPN 远程 访问 的 拓扑 结构 。 


VPN 客 户 中 


内 部 网 络 


Cisco ASA 
VPN 客 户 端 


图 10-49 IPSec VPN 远程 访问 的 拓扑 结构 


在 配置 IPSec VPN 远程 访问 之 前 ,确认 已 经 准备 好 以 下 信息 。 

(1) IPSec VPN 远程 客户 端 使 用 的 IP 地 址 池 范 围 。 

(2) 在 本 地 认证 数据 库 中 创建 用 户 列表 ,或 者 使 用 AAA 服务 器 实现 认证 。 

当 VPN 连接 时 ,远程 客户 端 使 用 的 网 络 信息 如 下 。 

(1) 主 DNS 服务 器 和 辅 DNS 服务 器 的 IP 地 址 。 

(2) 默认 域名 。 

(3) 认证 远程 客户 端 可 访问 的 本 地 主机 、 组 和 网 络 的 IP 地 址 列表 。 

在 任意 远程 管理 终端 上 运行 Cisco ASDM, 初 始 化 配置 过 程 中 , Cisco ASA 5510 的 
VPN 就 已 经 被 分 配 了 专用 的 外 部 接口 地 址 ,管理 员 通 过 该 IP 地 址 即 可 实现 远程 Web 连 
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接 。 在 主 窗口 中 单 击 Configuration 按钮 ,在 左 侧 列表 框 中 选择 Remote Access VPN 选项 ， 


配置 远程 访问 VPN, 如 图 10-50 所 示 。VPN 向 导 有 两 种 : Startup Wizard( 启 动向 导 ) 和 
SSL VPN Wizard(SSL VPN 向 导 ) 。 
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图 10-50 Remote Access VPN 选项 


1. 运行 SSL VPN 配置 向 导 

运行 SSL VPN 配置 向 导 的 操作 步骤 如 下 。 

(1) SSL VPN 配置 向 导 的 启动 方式 与 启动 向 导 类 似 , 打 开 Remote Access VPN 对 话 
框 ,并 在 Wizard 菜单 栏 中 选择 SSL VPN Wizard 命令 ,显示 如 图 10-51 所 示 的 SSL VPN 
Connection Type 对 话 框 。 系 统 默认 选中 Clientless SSL VPN Access 复 选 框 , 即 只 为 通过 
基于 浏览 器 (Windows 内 置 客户 端 ) 访 问 VPN 的 客户 端 启用 SSL 加 密 传输 。 如 果 网 络 中 
存在 使 用 Cisco 专用 客户 端 (AnyConnect VPN Client) 的 用 户 , 建 议 同 时 选中 Cisco SSL 
VPN Client 复 选 框 。 
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图 10-51 SSL VPN Connection Type 对 话 框 
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(2) 单 击 Next 按钮 ,显示 如 图 10-52 所 示 的 SSL VPN Interface 对 话 框 ,在 Connection 
Name 文本 框 中 输入 VPN 连接 名 称 ,在 SSL VPN Interface 下 拉 列 表 框 中 选择 outside 选 


项 , 即 用 户 访 问 此 VPN 时 使 用 的 接口 。 
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图 10-52 SSL VPN Interface 对 话 框 


(3) 单 击 Next 按钮 ,显示 如 图 10-53 所 示 的 User Authentication 对 话 框 ,系统 默认 选 
中 Authenticate using a AAA server group 单 选 按钮 ,即使 用 AAA 服务 器 验证 来 访 用 户 身 
份 。 如 果 选 中 Authenticate using the local user database 单 选 按钮 ,即使 用 本 地 用 户 账户 
数据 库 验证 , 则 既 可 以 在 这 里 创建 新 用 户 账号 ,也 可 以 稍 后 使 用 ASDM 配置 界面 添加 用 
户 。 在 Username、Password 和 Confirm Password 文本 框 中 分 别 输入 用 户 名 、 密 码 和 确认 
密码 , 单 击 Add 按钮 , 即 可 向 本 地 用 户 数 据 库 中 添加 新 的 用 户 。 重 复 操作 ,可 添加 多 个 


用 户 。 


| 
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(4) 单 击 Next 按钮 ,显示 如 图 10-54 所 示 的 Group Policy 对 话 框 ,选中 Create new 
group policy 单 选 按 钮 ,并 在 其 对 应 文本 框 中 输入 名 称 , 即 可 创建 新 的 组 策略 。 建 议 不 要 修 


改 系统 默认 策略 ,以免 影响 到 其 他 访问 功能 的 应 用 。 
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图 10-54 ”Group Policy 对 话 框 


(5) 单 击 Next 按钮 ,显示 如 图 10-55 所 示 的 Clientless Connections Only-Bookmark List 对 
话 框 ,设置 VPN 客户 端 访问 页 面 中 的 链接 列表 , 即 用 户 登录 VPN 后 可 以 快速 访问 的 Web 
站 点 或 网 络 资源 。 

(6) 单 击 Manage 按钮 ,显示 如 图 10-56 所 示 的 Configure GUI Customization Objects 
对 话 框 ,配置 SSL VPN 门户 网 站 页 面 显示 的 可 用 资源 或 站 点 书签 列表 。 
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图 10-55 Clientless Connections Only- 图 10-56 Configure GUI Customization 
Bookmark List 对 话 框 Objects 对 话 框 


(7) 单 击 Add 按钮 ,显示 如 图 10-57 所 示 的 Add Bookmark List 对 话 框 ,编辑 现 有 书签 
列表 。 在 Name 和 URL 栏 中 分 别 可 以 设置 显示 名 称 和 对 应 的 URL 路 径 。 

(8) 单 击 Add 按钮 ,显示 如 图 10-58 所 示 的 Add Bookmark Entry 对 话 框 ,添加 书签 项 。 

(9) 连续 单 击 OK 按钮 ,返回 Clientless Connections Only-Bookmark List 对 话 框 ,所 选 
对 象 已 经 显示 在 下 拉 列 表 框 中 。 单 击 Next 按钮 ,显示 如 图 10-59 所 示 的 IP Address Pools 
and Client image-AnyConnect VPN Client Connections Only 对 话 框 ,为 通过 SSL VPN 拨 
入 的 用 户 创建 IP 地 址 池 ,并 为 其 提供 VPN 客户 端 安装 程序 。 
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图 10-57 Add Bookmark List 对 话 框 图 10-58 Add Bookmark Entry 对 话 框 
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图 10-59 IP Address Pools and Client image-AnyConnect VPN Client Connections Only 对 话 框 

(10) 单 击 IP Address Pool 下 拉 列 表 框 后 的 New 按钮 ,显示 如 图 10-60 所 示 的 Add IP 
Pool 对 话 框 ,输入 地 址 池 名 称 和 起 止 IP 地 址 即 可 , 单 击 OK 按钮 返回 到 SSL VPN 配置 
向 导 。 

(11) 在 IP Address Pools and Client image-AnyConnect VPN Client Connections Only 
对 话 框 中 , 单 击 Browse 按钮 ,显示 如 图 10-61 所 示 的 Add SSL VPN Client Image 对 话 框 ， 
选择 将 要 为 氢 入 用 户 提供 的 客户 端 安装 程序 。 如 果 ASA 缓存 中 已 经 包含 VPN 客户 端 程 
序 , 则 可 以 单 击 Browse Flash 按钮 查找 ,否则 可 以 上 传 本 地 计算 机 上 的 客户 端 安装 程序 。 
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10-60 Add IP Pool 对 话 框 10-61 Add SSL VPN Client Image 对 话 框 
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(12) 单 击 Upload 按钮 ,显示 如 图 10-62 所 示 的 Upload Image 对 话 框 , 单 击 Browse 


Local Files 按钮 ,显示 Select 对 话 框 ,选择 希望 上 传 的 客户 端 安装 程序 并 单 击 Select 按钮 
即 可 。 
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图 10-62 Upload Image 对 话 框 


(13) 单 击 Next 按钮 ,显示 如 图 10-63 所 示 的 Summary 对 话 框 , 显 示 已 创建 SSL VPN 
摘要 信息 。 单 击 Finish 按钮 ,完成 SSL VPN 配置 并 保存 。 
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10-63 ”Summary 对 话 框 


2. 配置 NAT 

完成 SSL VPN 配置 向 导 之 后 ,外 部 用 户 虽 然 可 以 通过 VPN 拨 叫 到 内 网 ,但 由 于 ASA 
地 址 池 为 客户 端 分 配 的 IP 地 址 ,并 不 能 通过 核心 交换 机 路 由 到 其 他 网 络 ,因此 还 必须 通过 
NAT 将 其 转换 为 能 够 访问 内 部 网 络 资源 的 IP 地 址 。 

(1) 在 ASDM 管理 窗口 中 单 击 Configuration 按钮 ,在 左 侧 导 航 栏 中 单 击 Firewall 按 
钮 ,选择 Firewall 分 支 下 的 NAT Rules 选项 ,显示 如 图 10-64 所 示 的 窗口 。 
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图 10-64 ASDM 管理 窗口 


(2) 单 击 Add 按钮 并 选择 下 拉 菜 单 中 的 Add Dynamic NAT Rule 选项 ,显示 如 
图 10-65 所 示 的 Add Dynamic NAT Rule 对 话 框 ,在 Interface 下 拉 列 表 框 中 选择 inside 选项 。 
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图 10-65 Add Dynamic NAT Rule 对 话 框 


(3) 单 击 Source 文本 框 后 的 “…” 按 钮 ,显示 如 图 10-66 所 示 的 Browse Source 对 话 框 ， 
如 果 源 地 址 列表 中 已 经 存在 希望 添加 的 网 络 , 即 为 拨 入 用 户 创建 的 地 址 池 , 则 可 以 直接 选 
择 。 否 则 ,需要 立即 创建 。 

(4) 单 击 Add 按钮 并 选择 下 拉 菜 单 中 的 IP Name 选项 ,显示 如 图 10-67 所 示 的 Add IP 
Name 对 话 框 ,输入 源 地 址 名 称 、IP 地 址 和 描述 信息 即 可 。 单 击 OK 按钮 ,将 其 添加 到 源 列 
表 中 。 

(5) 在 Browse Source 对 话 框 中 选中 刚刚 创建 的 源 “SSL VPN_Pool”, 单 击 “ 确 定 ” 按 钮 
返回 Add Dynamic NAT Rule 对 话 框 , 单 击 OK 按钮 保存 配置 ,配置 结果 如 图 10-68 所 示 。 

(6) 在 ASDM 管理 窗口 的 右 侧 边栏 底部 单 击 Global 按钮 ,在 Global 选项 卡 中 单 击 
Add 按钮 ,显示 如 图 10-69 所 示 的 Add Global Address Pool 对 话 框 ,在 Interface 下 拉 列 表 
框 中 选择 outside 选项 ,默认 情况 下 此 时 Pool ID 文本 框 中 将 自动 输入 1, 如 果 在 此 之 前 已 经 
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10-69 Add Global Address Pool 对 话 框 
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创建 过 全 局 地 址 池 , 则 此 处 将 以 此 类 推 。 然 后 选中 Port Address Translation(PAT) using 
IP Address of the interface 单 选 按 钮 即 可 。 
(7) 单 击 OK 按钮 ,保存 配置 并 返回 ASDM 管理 窗口 ,配置 结果 如 图 10-70 所 示 。 
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图 10-70 成 功 创建 的 全 局 地 址 池 


3. 配置 非 转换 NAT 

创建 非 转换 NAT 规则 的 过 程 与 创建 动态 NAT 规则 基本 类 似 , 具 体操 作 步 又 如 下 。 

(1) 单 击 Add 按钮 并 选择 下 拉 菜 单 中 的 Edit NAT Exempt Rule 选项 ,显示 如 
图 10-71 所 示 的 Edit NAT Exempt Rule 对 话 框 ,选中 Exempt 单 选 按钮 ,在 Interface 下 拉 
列表 框 中 选择 inside 选项 。 

(2) 单 击 Source 文本 框 后 的 “…” 按 钮 ,显示 如 图 10-72 所 示 的 Browse Source 对 话 框 ， 
在 IP Address Objects 选项 区 域内 选择 any 选项 。 
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10-71 Edit NAT Exempt Rule 对 话 框 10-72 ”Browse Source 对 话 框 
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(3) 依次 单 击 “ 确 定 ” 和 OK 按钮 ,保存 配置 并 返回 到 ASDM 管理 窗口 ,配置 结果 如 


图 10-73 所 示 。 
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图 10-73 成功 创建 的 非 转 换 NAT 规则 


10.4.2 Cisco AnyConnect VPN 客户 端 


Cisco AnyConnect VPN 客户 端 相对 于 Windows 系统 集成 的 VPN 客户 端 而 言 更 加 简 


便 , 用 户 使 用 IE 浏览 器 访问 VPN 时 , 即 可 提示 用 户 下 载 ,下 载 过 程 中 将 自动 安装 。 当 然 用 


户 也 可 以 通过 Internet 下 载 该 客户 端 安装 程序 。 


(1) 在 IE 浏览 器 地 址 栏 中 输入 VPN 服务 器 的 地 址 ,如 https://211.82.216. 137 ,正确 
输入 用 户 名 和 密码 后 即 可 登录 ,显示 如 图 10-74 所 示 的 窗口 。 在 客户 端 下 载 页 面 中 单 击 
Start AnyConnect 链接 即 可 开始 下 载 ,并 自动 安装 ,在 此 过 程 中 用 户 需 注意 浏览 器 上 方 的 信 


息 栏 ,安装 向 导 会 提示 安装 Active 控件 。 
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10-74 下 载 并 安装 AnyConnect VPN 客户 端 
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(2) 安装 完成 后 将 自动 连接 到 远程 VPN 服务 器 ,并 在 系统 任务 栏 中 显示 相应 提示 信 
息 ,如 图 10-75 所 示 。 
(3) 双击 任务 栏 中 的 图 标 , 打 开 Cisco AnyConnect VPN 


Client 对 话 框 ,默认 显示 如 图 10-76 所 示 的 Statistics 选项 卡 ， 
在 这 里 可 以 查看 获得 的 IP 地 址 、VPN 服务 器 信息 .连接 时 ia 


间 等 。 图 10-75 连接 到 VPN 服务 器 
(4) 右 击 任务 栏 中 的 图 标 并 选择 Quit 或 Disconnect 即 可 

断 开 VPN 连接 。 依 次 选择 “开始 ”>“ 所 有 程序 ”Cisco 下 Cisco AnyConnect VPN Client->~ 

Cisco AnyConnect VPN Client 选项 , 即 可 启动 AnyConnect VPN 客户 端 ,如 图 10-77 所 示 。 
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图 10-76 Statistics 选项 卡 图 10-77 ”Connection 选项 卡 


(5) 在 Connect to 文本 框 中 输入 VPN 服务 器 的 IP 地址 ,在 Username 和 Password 文 
本 框 中 ,分 别 输入 用 户 名 和 密码 , 单 击 Connect 按钮 即 可 开始 连接 VPN 服务 器 。 


10.4.3 知识 链接 : Cisco ASDM 


Cisco ASDM(Adaptive Security Device Manager, 自 适应 安全 设备 管理 器 ) 通 过 一 个 直 
观 . 易 用 、 基 于 Web 的 管理 界面 ,提供 安全 管理 和 监控 服务 。 结 合 Cisco ASA 5500 系列 自 
适应 安全 设备 和 Cisco PIX 安全 设备 ,Cisco ASDM 提供 的 智能 向 导 、 强 大 的 管理 工具 和 灵 
活 的 监控 服务 ,进一步 增强 Cisco 安全 设备 套件 提供 的 先进 的 集成 安全 和 网 络 功 能 ,从 而 加 
速 安全 设备 的 部 署 。Cisco ASDM 基于 Web 的 安全 设计 ,可 以 使 用 户 能 随时 随地 访问 
Cisco ASA 5500 系列 自 适应 安全 设备 和 Cisco PIX 安全 设备 。 


10.5 借助 Forefront TMG 实现 VPN 


如 果 要 使 Internet 上 的 用 户 能 够 安全 地 访问 公司 的 内 部 网 络 ,就 可 以 利用 VPN 服务 器 
来 实现 。 通 常 ,VPN 服务 器 不 能 与 其 他 服务 "共存 "于 同一 台 服 务 器 上 ,因为 在 启用 VPN 服 
务 之 后 ,系统 默认 的 路 由 表 发 生 了 改变 ,不 能 使 用 其 他 的 网 络 通信 。 不 过 ,部 署 了 Forefront 
TMG 以 后 , 既 可 以 将 VPN 服务 器 安装 在 Forefront TMG 服务 器 上 ,也 可 以 将 内 部 的 VPN 


第 10 章 远程 接 大 记 全 623 


服务 器 发 布 到 外 部 网 络 。 
10.5.1 注意 事项 


1. 拓扑 结构 

Forefront TMG 服务 器 的 功能 非常 强大 ,VPN 只 是 其 主要 应 用 之 一 。 使 用 Forefront 
TMG 服务 器 实现 远程 访问 VPN 时 ,需要 将 其 部 署 在 网 络 边缘 ,直接 接 入 Internet。 虽 然 
Forefront TMG 服务 器 本 身 提供 代理 服务 器 和 防火 防火 墙 
墙 功能 ,但 考虑 到 当前 企业 网 络 规 模 较 大 ,并 且 [ 
Forefront TMG 服务 器 的 性 能 有 限 ,所 以 仍 保留 防火 
墙 作为 局 域 网 的 Internet 接 人 设备 。 图 10-78 所 示 
为 Forefront TMG 服务 器 作 VPN 接 人 时 的 拓扑 
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结构 。 Foreftont TMG 
2. VPN 服务 的 发 布 过 程 图 10-78 ”Forefront TMG 服务 
如 果 VPN 服务 器 安装 在 TMG 服务 器 上 ,并 且 器 作 VPN 接 入 

要 利用 网 络 策略 服务 器 对 客户 端 计算 机 进行 验证 , 则 

需 按 以 下 步骤 进行 操作 。 


(1) 打开 * 路 由 和 远程 访问 ?控制 台 , 停 止 * 路 由 和 远程 访问 ”服务 。 

(2) 在 TMG 中 配置 VPN 客户 端 访问 ,选择 要 使 用 的 VPN 协议 ,并 配置 RADIUS 
验证 。 

(3) 创建 VPN 策略 ,允许 来 自 外 网 的 VPN 客户 端 访 问 VPN 服务 器 。 

如 果 VPN 服务 器 没有 安装 在 TMG 服务 器 上 , 则 只 需 创建 VPN 发 布 策 略 ,选择 VPN 
服务 器 协议 即 可 。 


10.5.2 配置 VPN 客户 端 访问 


禁用 了 “路 由 和 远程 访问 ”服务 以 后 ,需要 在 TMG 中 配置 VPN 客户 端 访问 ,选择 VPN 
协议 ,并 配置 IP 地 址 分 配方 式 、 配 置 RADIUS 验证 。 

(1) 打开 Forefront TMG 控制 台 , 在 左 侧 栏 中 选择 “虚拟 专用 网 络 (VPN)” 选 项 ,如 
图 10-79 所 示 , 在 此 处 即 可 配置 VPN 服务 。 

(2) 在 右 侧 的 “VPN 客户 端 任务 "选项 区 域 中 , 单 击 * 配 置 VPN 客户 端 访问 ”链接 , 显示 
如 图 10-80 所 示 的 “VPN 客户 端 属性 ?对 话 框 。 不 过 ,现在 先 不 要 选中 * 启 用 VPN 客户 端 
访问 " 复 选 框 。 

(3) 选择 “协议 ”选项 卡 , 选 择 远程 连接 要 使 用 的 隧道 协议 ,默认 为 PPTP, 如 图 10-81 所 
示 。 如 果 VPN 服务 器 使 用 L2TP, 则 选中 “启用 L2TP/IPsec” 复 选 框 。 

(4) 单 击 “ 确 定 ” 按 钮 ,返回 TMG 控制 台 。 在 “虚拟 专用 网 络 (VPN)” 窗 口 右 侧 的 “常规 
VPN 配置 ”选项 区 域 中 单 击 “ 选 择 访问 网 络 ” 链 接 ,显示 “虚拟 专用 网 络 (VPN) 属 性 ”对 话 
框 。 在 “访问 网 络 ? 选 项 卡 中 ,选择 客户 端 初始 化 时 连接 到 的 VPN 服务 器 的 网 络 , 如 
图 10-82 所 示 。 如 果 只 作为 VPN 服务 器 对 外 提供 VPN 接 人 服务 ,默认 为 “外 部 ”; 对 于 站 
点 到 站 点 的 连接 , 则 选择 “内 部 ”。 
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图 10-80 “VPN 客户 端 属性 ”对 话 框 


EE 
让 6 | 地 分 本 | 身份 和 还 | murs | 
PM, WAI i wre ees 


回 全 外 部 代表 Intermet 的 内 四 风 对 旭 
口语 所 要 人 P93。 此 济 定 的 凡人 志 折 要 外 
口语 所 NS Go 地 主机 )。 此 注定 多 的 3 络 集 包 括 所 有 问 络 


图 10-81 “协议 ”选项 卡 图 10-82 “访问 网 络 ” 选 项 卡 


(5) 选择 “地 址 分 配 ” 选 项 卡 , 设 置 为 VPN 客户 端 分 配 IP 地 址 的 方式 。 如 果 要 为 客户 
端 分 配 静态 IP 地 址 ,选中 “静态 地 址 池 ” 单 选 按钮 , 单 击 “ 添 加 ”按钮 添加 IP 地 址 段 (如 
图 10-83 所 示 ); 如 果 网 络 中 存在 DHCP 服务 器 , 则 可 选中 “动态 主机 配置 协议 (DHCP)" 单 
选 按钮 ,为 客户 端 分 配 动态 IP 地 址 。 

注意 : 如 果 配 置 静态 地 址 , 则 必须 定义 一 个 与 本 地 主机 内 部 网 卡 不 相关 的 地 址 段 , 即 地 
址 范围 不 能 与 本 地 主机 、 外 网 的 子 网 重复 ,也 不 能 与 路 由 表 中 已 有 的 地 址 冲突 。 

(6) 如 果 VPN 服务 器 需要 使 用 网 络 策略 服务 器 对 客户 端 计算 机 进行 验证 , 则 需 配 置 
RADIUS。 选 择 RADIUS 选项 卡 ,选中 “使 用 RADIUS 进行 身份 验证 ? 复 选 框 , 如 图 10-84 
所 示 。 

(7) 单 击 “RADIUS 服务 器 ?按钮 ,显示 “RADIUS 服务 器 ”对 话 框 ,用 来 添加 可 用 的 
RADIUS 服务 器 。 单 击 “ 添 加 ”按钮 ,显示 如 图 10-85 所 示 的 “添加 RADIUS 服务 器 ?对话 
框 。 在 “服务 器 名 ”文本 框 中 ,输入 网 络 策略 服务 器 的 IP 地 址 。 

如 果 要 与 网 络 策略 服务 器 安全 地 传输 数据 ,还 需要 设置 共享 密 钥 。 单 击 “ 更 改 ” 按 钮 , 显 
示 如 图 10-86 所 示 的 “共享 的 机 密 ” 对 话 框 ,需要 设置 密 钥 。 
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图 10-84 RADIUS 选项 卡 
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图 10-85 “添加 RADIUS 服务 器 ”对 话 框 图 10-86 “共享 的 机 密 ” 对 话 框 


(8) 依次 单 击 “ 确 定 ” 按 钮 保存 ,并 返回 TMG 控制 台 。 然 后 ,在 “虚拟 专用 网 络 (VPN)” 
窗口 右 侧 的 “VPN 客户 端 任 务 ” 选 项 区 域 中 单 击 “ 启 用 VPN 客户 端 访 问 " 链 接 。 


10.5.3 创建 VPN 服务 器 发 布 策略 


如 果 VPN 服务 器 位 于 局 域 网 中 ,为 了 使 VPN 客户 端 能 够 通过 TMG 防火 墙 访问 VPN 
服务 器 ,还 需要 在 TMG 中 创建 一 条 策略 ,将 VPN 服务 器 发 布 到 外 网 。 

(1) 在 “防火 墙 策略 ”窗口 中 ,启动 “新 建 访问 规则 向 导 ”。 单 击 * 下 一 步 ”按钮 ,在 “规则 
操作 ”对 话 框 中 选中 “允许 ” 单 选 按钮 。 

(2) 单 击 “下 一 步 ”按钮 ,显示 “协议 ”对 话 框 。 如 果 VPN 服务 器 安装 在 当前 TMG 服务 
器 上 ,在 “此 规则 应 用 到 ”下 拉 列 表 框 中 选择 “所 有 出 站 通讯 ”选项 即 可 ; 如 果 VPN 服务 器 在 
内 部 网 络 中 , 则 需 在 “此 规则 应 用 到 ”下 拉 列 表 框 中 选择 “所 选 的 协议 ”选项 ,并 单 击 “ 添 加 ” 按 
钮 ,添加 所 使 用 的 VPN 协议 ,如 PPTP 等 ,如 图 10-87 所 示 。 

(3) 连续 单 击 “ 下 一 步 ” 按 钮 ,在 “访问 规则 源 ” 对 话 框 中 添加 “VPN 客户 端 ”, 在 “访问 规 


@。。 
326 “计算 机 网 络 朗 全 


《上 -区 四 | 下 -区 四 名 _ 


图 10-87 添加 VPN 协议 


则 目标 ”对 话 框 中 根据 需要 选择 内 部 、 本 地 主机 或 者 外 部 。 在 “恶意 软件 检查 ”对 话 框 中 , 选 
中 “对 该 规则 启用 恶意 软件 检查 ” 单 选 按 钮 ,如 图 10-88 所 示 。 

(4) 单 击 * 下 一 步 ” 按 钮 ,显示 “访问 规则 源 ” 对 话 框 。 单 击 “ 添 加 ”按钮 ,添加 “网 络 ” 中 的 
“VPN 客户 端 "选项 ,如 图 10-89 所 示 。 
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图 10-88 “恶意 软件 检查 ”对 话 框 图 10-89 “访问 规则 源 ” 对 话 框 


(5) 单 击 “ 下 一 步 ”按钮 ,显示 “访问 规则 目标 ”对 话 框 。 如 果 VPN 服务 器 是 在 网 络 内 
部 , 则 需 单 击 “ 添 加 ”按钮 ,添加 “网 络 ” 中 的 “内 部 ”选项 ,如 图 10-90 所 示 ; 如 果 VPN 服务 器 
安装 在 当前 TMG 服务 器 上 , 则 需 添 加 “本 地 主机 ”选项 。 

(6) 依次 单 击 “ 下 一 步 " 按 钮 ,规则 创建 完成 ,并 单 击 “ 应 用 ”按钮 ,使 设置 生效 即 可 。 


10.5.4 检查 VPN 服务 器 


在 Forefront TMG 控制 台中 ,配置 完 VPN 服务 以 后 ,打开 “路 由 和 远程 访问 ”控制 台 ， 
如 果 “ 路 由 和 远程 访问 ”已 经 自动 启动 (如 图 10-91 所 示 ) , 则 表示 Forefront TMG 上 的 VPN 
服务 器 配置 完成 。 否 则 ,就 需要 启用 并 配置 “路 由 和 远程 访问 ”, 启 用 “VPN 访问 ”功能 ,具体 
操作 步骤 参见 相关 内 容 , 这 里 不 再 著述 。 
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图 10-90 “访问 规则 目标 "对话 框 图 10-91 路 由 和 远程 访问 
习题 
1. 什么 是 VPN? 


2. VPN 有 哪些 特点 ? 
3. 将 一 台 Windows Server 2003 服务 器 配置 为 VPN 服务 器 之 前 ,必须 做 好 哪些 准备 


4. 简 述 SSL VPN 和 IPSec VPN 的 区 别 。 
5. 简 述 Easy VPN 的 定义 ,主要 应 用 于 哪些 领域 。 


实验 : 借助 windows Server 2008 实现 VPN 


实验 目的 : 

掌握 Windows 环境 下 VPN 服务 器 的 搭建 .配置 和 应 用 。 

实验 内 容 : 

在 Windows Server 2008 域 环境 中 搭建 一 台 VPN 服务 器 ,要 求 使 用 RADIUS 身份 验 
证 和 记 账 方式 。 

实验 步骤 : 

(1) 准备 用 于 配置 VPN 服务 的 计算 机 ,安装 双 网 卡 并 配置 公 网 IP 地 址 。 

(2) 启用 并 配置 路 由 和 远程 访问 中 的 VPN 服务 。 

(3) 设置 客户 端 获取 IP 地 址 的 方式 和 身份 验证 方式 。 

(4) 创建 用 于 远程 氢 入 的 域 用 户 账 户 ,并 赋予 “远程 访问 ”权限 。 

(5) 分 别 在 Windows XP 和 Windows Vista 系统 环境 下 ,创建 VPN 客户 端 连接 。 

(6) 尝试 氢 入 VPN 服务 器 所 在 的 专用 网 ,并 实现 资源 共享 。 


网 络 访问 保护 


网 络 访问 安全 是 目前 信息 安全 领域 的 一 项 重要 技术 ,主要 包括 Microsoft 推出 的 NAP、 
Cisco 推出 的 NAC 和 TCG 组 织 提出 的 TNC 技术 。NAP(Network Access Protection, 网 
络 访问 保护 ) 技 术 是 从 Windows Server 2008 和 Windows Server 2008 R2 系统 开始 默认 集 
成 的 ,用 于 为 各 种 网 络 访问 提供 安全 保护 ,例如 远程 桌面 访问 .VPN 连接 等 。 


11.1 网 络 访问 保护 规划 


网 络 攻 击 并 非 像 想象 中 的 单刀 直入 , 直 奔 目标 而 去 。 因 为 ,可 以 被 定义 为 攻击 目标 的 服 
务 器 或 网 络 设备 的 安全 防御 都 是 非常 完善 的 ,其 至 无 懈 可 击 , 只 能 通过 跳板 来 达到 目的 , 例 
如 网 络 中 某 台 客户 端 计 算 机 系统 存在 的 安全 漏洞 等 。 目 前 ,该 中 型 企业 网 络 中 拥有 500 多 
台 计算 机 ,如 果 让 管理 员 一 一 检查 每 一 台 计 算 机 是 否 存在 安全 漏洞 ,显然 是 不 现实 的 ,部 署 
NAP 系统 也 就 成 了 首选 方案 。 


11.1.1 案例 情景 


企业 网 络 中 的 客户 端 计 算 机 有 500 多 台 ,大 部 分 计算 机 可 以 自由 访问 网 络 中 的 共享 资 
源 。VPN 拨 入 用 户 , 可 以 凭借 有 效用 户 账户 接 入 企业 内 部 网 络 。 客 户 端 计算 机 系统 安全 性 
较 低 ,一 般 只 安装 了 杀毒 软件 .防火墙 中 的 一 种 ,甚至 有 些 用 户 “轻装 上 阵 ”, 没 有 任何 系统 安 
全 防御 措施 。 这 些 计 算 机 一 旦 连接 到 局 域 网 ,病毒 .木马 很 可 能 会 通过 网 络 袭 击 局 域 网 中 的 
文件 服务 器 或 其 他 重要 计算 机 ,严重 时 能 导致 局 域 网 网 络 发 生 瘫 痪 现象 。 

如 今 , 随 着 笔记 本 电脑 ,PC、 手 机 上 网 等 端点 设备 的 广泛 应 用 ,一 次 不 经 意 的 开机 或 联 
网 ,可 能 已 经 为 整个 网 络 的 安全 埋 下 了 隐患。 不 仅 如 此 ,该 企业 网 络 中 对 网 络 设 备 的 接 入 是 
未 作 任 何 限制 的 ,每 个 用 户 都 可 以 将 未 经 统一 管理 的 网 络 设备 连接 到 网 络 ,进而 访问 
Internet 与 应 用 程序 。 不 幸 的 是 ,企业 组 织 并 不 能 保证 这 些 未 经 管理 的 设备 与 其 安全 标准 
兼容 ,也 不 能 明确 第 三 方 的 网 络 访问 责任 。 

企业 网 络 中 现 有 的 安全 防御 措施 都 是 面向 客户 端的 安全 软件 ,例如 防 病毒 系统 、 防 火 
墙 、 防 间谍 软件 系统 .人 侵 防御 系统 等 ,这 些 措 施 虽 然 可 以 减轻 终端 设备 的 安全 防御 压力 ,但 
其 功能 通常 都 是 局 限于 访问 权限 管理 和 安全 策略 部 署 方面 。 如 果 没 有 网 络 管理 员 的 配合 管 
理 , 现 有 解决 方案 很 难处 理 网 络 访问 控制 方面 的 难题 。 
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11.1.2 项 目 需求 


在 应 用 Windows Server 2008 服务 器 平台 之 前 ,网 络 管理 员 始 终 没 有 找到 有 效 控 制 危 
险 客 户 端 访问 网 络 的 方法 。 如 果 使 用 硬件 设备 , 则 无 疑 会 增加 企业 投资 ,而 经 过 综合 成 效 和 
投入 的 比较 ,很 少 企业 会 采用 这 种 方案 。 在 软件 方面 ,网 络 访问 控制 技术 的 效果 的 确 很 难 令 
人 满意 。 自 从 有 了 Windows Server 2008 系统 后 ,这 些 问题 就 迎刃而解 了 ,系统 自 带 的 
NAP 功能 会 自动 对 访问 局 域 网 的 所 有 普通 计算 机 强制 进行 安全 检查 ,如果 发 现 其 安全 健康 
标准 不 达标 , 则 会 责令 其 立即 采取 安全 修正 措施 ,或 者 干脆 禁止 其 访问 局 域 网 网 络 , 这 样 一 
来 局 域 网 的 安全 性 就 能 得 到 有 效 保证 了 。 

1. 保护 漫游 计算 机 的 健康 

网 络 中 应 用 笔记 本 移动 办 公 的 用 户 越 来 越 广泛 ,例如 ,需要 经 常 携带 笔记 本 出 差 的 用 
户 , 笔 记 本 需要 经 常 连接 不 安全 的 外 部 网 络 ,没有 安装 更 新 补丁 ,没有 更 新 病毒 库 , 或 者 已 经 
感染 病毒 ,一旦 连接 到 公司 网 络 ,需要 进行 安全 检查 。 

2. 保护 桌面 计算 机 的 健康 

网 络 中 相对 比较 固定 的 工作 站 ,虽然 可 以 受到 网 络 防火 墙 的 保护 和 安全 策略 限制 ,但 是 
由 于 经 常 接 入 Internet, 连 接 移动 设备 ,收发 电子 邮件 等 ,也 可 能 存在 一 定 的 安全 隐患 ,有 必 
要 接受 补丁 包 获 得 更 新 ,并 更 新 病毒 库 。 

3. 保护 来 访 用 户 计算 机 的 健康 

有 时 候 来 访 用 户 的 计算 机 需要 连接 到 内 部 网 络 ,但 是 ,很 难保 证 这 些 计 算 机 符合 网 络 内 
部 的 安全 策略 ,如果 强行 接 人 网络 , 则 可 能 会 有 安全 威胁 。 此 时 ,可 以 通过 网 络 访问 保护 功 
能 在 技术 层面 进行 访问 限制 。 当 客户 计算 机 连 入 内 部 网 络 之 后 ,NAP 可 以 将 客户 计算 机 重 
定向 到 一 个 隔离 的 网 段 ,会 自动 连接 到 修正 服务 器 ,对 客户 计算 机 实施 制定 的 安全 策略 , 例 
如 进行 自动 更 新 、 修 复 漏洞 等 ,在 修复 安全 之 后 ,客户 计算 机 可 以 自动 连接 到 内 部 网 络 ,以 上 
操作 自动 完成 ,不 耽误 业务 的 进展 。 

4. 保护 家 庭 计算 机 的 健康 

网 络 中 的 用 户 有 时 候 会 将 工作 带 到 家 中 处 理 , 需 要 通过 VPN 等 方式 将 家 中 的 计算 机 
连接 到 公司 内 部 网 络 访问 资源 ,此 时 家 中 的 计算 机 就 有 可 能 对 公司 内 部 网 络 造成 安全 威胁 。 
使 用 NAP 功能 可 以 设置 检查 家 庭 计算 机 ,可 以 将 接 和 人 的 家 庭 计算 机 限制 到 隔离 网 段 ,进行 
健康 修复 ,直到 安全 为 止 。 


11.1.3 解决 方案 


该 企业 网 络 中 大 多 数 客户 端 计算 机 系统 为 Windows XP 和 Windows Vista, 人 恰恰 符合 
NAP 客户 端的 系统 需求 。 综 合 考虑 企业 网 络 环境 的 现状 和 用 户 需 求 , 决 定 通过 部 署 NAP 
系统 ,解决 网 络 访问 控制 方面 的 难题 。 

1. 需要 部 署 的 NAP 强制 

Windows Vista、Windows XP SP3 和 Windows Server 2008 中 的 NAP 支持 如 下 类 型 
的 网 络 访问 和 通信 。 

Q@ IPSec 保护 通信 。 

@ IEEE 802. 1x 身份 验证 的 网 络 连接 。 
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@ 远程 访问 VPN 连接 。 

@ DHCP 地 址 配置 。 

Windows Server 2008 和 Windows Vista 也 包含 支持 连接 到 TS 网 关 服 务 器 的 NAP。 
管理 员 可 以 使 用 这 些 类 型 的 网 络 访问 或 通信 ,也 叫做 NAP 强制 方式 ,独立 或 共同 限制 不 符 
合计 算 机 的 访问 或 通信 。 

(1) IPSec 强制 

使 用 IPSec 强制 ,计算 机 必须 符合 使 用 内 网 中 服务 器 隔离 或 域 隔离 的 其 他 符合 计算 机 
初始 化 的 通信 ,这 就 要 求人 站 通信 受到 IPSec 的 保护 。 因 为 IPSec 强制 利用 IPSec, 用 户 可 
以 为 受 保 护 的 通信 在 每 个 IP 或 每 个 TCP/UDP 端口 号 上 指定 要 求 。IPSec 强制 在 成 功 连 
接 和 获取 有 效 IP 地 址 配置 之 后 ,为 了 符合 的 计算 机 限制 通信 。IPSec 强制 是 NAP 中 限制 
网 络 访问 或 通信 的 最 强 形式 之 一 。 

IPSec 组 件 包括 运行 Windows Server 2008 的 HRA 上 的 IPSec ES 和 Windows Vista、 
Windows XP SP3 和 Windows Server 2008 上 的 IPSec EC。 当 NAP 客户 端 证 明 是 符合 时 ， 
HRA 包括 基于 X. 509 健康 证 书 。 当 NAP 客户 端 使 用 其 他 符合 的 NAP 客户 端 初始 化 
IPSec 保护 的 通信 时 ,这 些 健康 证 书 需要 与 IPSec 策略 设置 一 同 来 验证 NAP 客户 端 。 

(2) IEEE 802. 1x 强制 

使 用 IEEE 802. 1x 强制 ,计算 机 必须 可 以 通过 IEEE 802. 1x 身份 验证 的 网 络 连接 来 获 
取 不 受 限 的 网 络 访问 ,网 络 连 接 包括 认证 的 以 太 网 交换 机 或 IEEE 802. 1x 无 线 AP。 对 于 
不 符合 的 计算 机 ,通过 以 太 网 交换 机 或 无 线 AP 中 的 受 限 访问 配置 文件 来 限制 网 络 访问 。 
受 限 访问 配置 文件 可 以 指定 访问 控制 列表 (ACL) ,必须 符合 以 太 网 交换 机 或 无 线 AP 上 配 
置 的 由 数据 包 过 滤器 的 设置 ,或 者 符合 受 限 网 络 VLAN ID。 使 用 IEEE 802. 1x 强制 ,健康 策 
略 要 求 在 每 次 计算 机 尝试 IEEE 802. 1x 身份 验证 网 络 连接 时 都 要 进行 强制 。IEEE 802. 1x 强 
制 也 可 以 监视 连接 的 NAP 客户 端的 健康 状态 ,以 及 当 客 户 端 变 为 不 符合 时 应 用 受 限 访问 
配置 文件 到 连接 上 。 

IEEE 802. 1x 强制 组 件 包 括 Windows Server 2008 中 的 NPS 和 Windows Vista、 
Windows XP SP3 和 Windows Server 2008 上 的 EAPHost EC。IEEE 802. 1x 为 所 有 通过 
IEEE 802. 1x 身份 验证 连接 访问 网 络 的 计算 机 ,提供 强壮 的 受 限 网 络 访问 。 

(3) VPN 强制 

使 用 VPN 强制 ,计算 机 必须 可 以 通过 远程 访问 VPN 连接 获取 不 受 限 的 网 络 访问 。 对 
于 符合 的 计算 机 ,通过 VPN 服务 器 应 用 在 VPN 连接 上 的 IP 数据 包 过 滤器 的 设置 来 限制 
网 络 访问 。 使 用 VPN 强制 ,健康 策略 要 求 在 每 次 计算 机 尝试 获取 远程 访问 VPN 连接 时 都 
要 进行 强制 。VPN 强制 也 可 以 监视 连接 的 NAP 客户 端的 健康 状态 ,以 及 当 客 户 端 变 为 不 
符合 时 为 了 到 VPN 连接 的 受 限 网 络 访问 应 用 卫 数据 包 过 滤器 。 

VPN 强制 组 件 包 括 Windows Server 2008 中 的 NPS 和 Windows Vista、Windows XP 
SP3 和 Windows Server 2008 远程 访问 客户 端 上 的 VPN EC。VPN 强制 为 所 有 通过 远程 访 
问 VPN 连接 访问 网 络 的 计算 机 提供 了 强壮 的 受 限 网 络 访问 。 

(4) DHCP 强制 

使 用 DHCP 强制 ,计算 机 必须 可 以 从 DHCP 服务 器 上 获取 受 限 网 络 访问 的 IPv4 地 址 
配置 。 对 于 不 符合 的 计算 机 ,网 络 访问 受到 IPv4 地 址 配置 的 限制 ,该 配置 只 允许 到 受 限 网 
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络 的 访问 。 使 用 DHCP 强制 ,健康 策略 要 求 在 每 次 DHCP 客户 端 尝试 租借 或 续 借 IPv4 地 
址 配置 时 都 要 进行 强制 。DHCP 强制 也 可 以 监视 连接 的 NAP 客户 端的 健康 状态 ,以 及 当 
客户 端 变 为 不 符合 时 为 只 访问 受 限 网 络 续 借 IPv4 地 址 配置 。 

DHCP 强制 组 件 包括 Windows Server 2008 DHCP 服务 器 中 的 DHCP ES 和 Windows 
Vista、Windows XP SP3 和 Windows Server 2008 DHCP 客户 端 中 的 DHCP EC。 为 
DHCP 强制 依赖 于 受 限 IPv4 地 址 配置 ,可 以 被 管理 员 任 意 修改 ,所 以 该 强制 是 NAP 中 受 
限 网 络 访问 中 较 弱 的 形式 。 

2. NAP 系统 的 主要 组 成 

图 11-1 显示 了 启用 NAP 的 网 络 基础 结构 的 组 件 , 启 用 NAP 的 网 络 基础 结构 的 组 件 主 
要 包含 以 下 内 容 。 


< 
受 限 客户 端 
图 11-1 启用 NAP 的 网 络 基础 结构 


(1) NAP 客户 端 : 支持 NAP 的 计算 机 包括 Windows Server 2008、Windows Vista 或 
Windows XP SP3 的 计算 机 。 

(2) NAP 强制 点 : 使 用 NAP 或 可 以 使 用 NAP 的 计算 机 与 网 络 设备 要 求 NAP 客户 端 
的 健康 状态 评估 ,并 提供 受 限 的 网 络 访问 或 通信 。NAP 强制 点 使 用 网 络 策略 服务 器 (NPS) 
作为 NAP 健康 策略 服务 器 来 评估 客户 端的 健康 状态 信息 ,网 络 访问 或 通信 是 否 被 允许 ,以 
及 不 符合 的 NAP 客户 端 必须 执行 的 修正 动作 的 设置 。NAP 强制 点 的 示例 如 下 。 

Oa 健康 注册 机 构 (HRA)。 运 行 Windows Server 2008 和 IIS 的 计算 机 ,对 于 符合 的 
NAP 客户 端 都 具有 CA 颁发 的 健康 证 书 。 

@ 网 络 访问 设备 。 以 太 网 交换 机 或 支持 IEEE 802. 1x 身份 验证 的 无 线 AP。 

@ VPN 服务 器 。 运 行 Windows Server 2008 的 计算 机 ,以 及 允许 远程 访问 VPN 连接 
内 网 的 路 由 和 远程 访问 。 

@ DHCP 服务 器 。 运 行 Windows Server 2008 的 计算 机 ,以 及 提供 动态 IPv4 地 址 配置 
的 DHCP 服务 器 服务 。 

(3) NAP 健康 策略 服务 器 : 运行 Windows Server 2008 的 计算 机 ,以 及 存储 健康 要 求 
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策略 和 提供 健康 状态 验证 的 NPS 服务 。NPS 代替 了 Internet 身份 验证 服务 .RADIUS 服 
务 器 和 Windows Server 2003 提供 的 代理 。NPS 也 可 以 作为 网 络 访问 的 身份 验证 ,授权 和 
记 账 (AAA) 服 务 器 。 当 作为 AAA 服务 器 或 NAP 健康 策略 服务 器 时 ,NPS 通常 为 网 络 访 
问 和 健康 要 求 策略 的 集中 配置 使 用 单独 的 服务 器 。NPS 服务 也 可 以 运行 在 基于 Windows 
Server 2008 的 NAP 强制 点 上 ,如 HRA 或 DHCP 服务 器 。 但 在 这 些 配置 中 ,NPS 服务 是 
用 于 RADIUS 代理 与 NAP 健康 策略 服务 器 交换 RADIUS 消息 的 。 

(4) 健康 要 求 服务 器 : 为 NAP 健康 策略 服务 器 提供 当前 系统 健康 状态 的 计算 机 。 例 
如 ,使 用 杀毒 程序 的 健康 要 求 服务 器 需要 追踪 最 新 版 本 的 病毒 库 文件 。 

(5) 活动 目录 域 服务 : 存储 账户 证 书 和 属性 ,以 及 组 策略 设置 的 Windows 目录 服务 。 
虽然 不 需要 健康 状态 验证 ,但 是 活动 目录 需要 IPSec 保护 通信 、IEEE 802. 1x 验证 连接 ,以 
及 远程 访问 VPN 连接 。 

(6) 受 限 网 络 : 一 个 单独 的 逻辑 或 物理 网 络 包含 以 下 部 分 。 

@ 修正 服务 器 : 网 络 基础 结构 服务 器 和 NAP 用 来 修正 不 符合 状态 的 健康 更 新 服务 
器 。 例 如 ,网 络 基础 结构 服务 器 包括 DNS 服务 器 和 活动 目录 域 控制 器 。 健 康 更 新 服务 器 包 
括 病毒 库 服务 器 和 软件 更 新 服务 器 。 

@ 访问 受 限 的 NAP 客户 端 : 对 于 不 满足 健康 要 求 策略 的 计算 机 将 会 被 放置 在 受 限 网 
络 中 。 

@ 不 支持 NAP 的 计算 机 : 不 支持 NAP 的 计算 机 将 会 被 放置 在 受 限 网 络 中 。 


11.2 网 络 访问 保护 准备 


在 网 络 中 部 署 NAP 之 前 ,必须 对 当前 网 络 环境 及 结构 进行 合理 规划 ,以 便于 应 用 过 程 
中 可 以 根据 需要 随时 加 入 新 的 NAP 应 用 。 必 要 的 准备 工作 通常 包括 评价 当前 的 网 络 基础 
结构 ,准备 NAP 组 件 和 搭建 所 需 的 网 络 服务 器 等 。 


11.2.1 搭建 基础 网 络 环境 


在 开始 NAP 配置 之 前 ,需要 详细 记录 和 评价 当前 网 络 基础 结构 ,以 保证 其 需要 的 主机 
和 访问 服务 器 ,以 及 保证 其 满足 支持 NAP 的 要 求 。 当 前 网 络 基 础 结构 的 评价 可 以 分 为 内 
网 计算 机 、 附 属 内 网 的 第 2 层 和 网 络 支持 基础 结构 。 

1. 内 网 计算 机 

内 网 计算 机 可 以 分 为 NAP 客户 端的 候选 对 象 和 不 支持 NAP 的 客户 端 ,也 可 以 被 分 为 
可 管理 和 不 可 管理 两 种 。 

可 管理 的 计算 机 主要 分 为 以 下 两 种 。 

(1) 支持 NAP: 运行 Windows Vista、Windows XP SP3 或 Windows Server 2008 的 计 
算 机 ,以 及 使 用 NAP 客户 端的 其 他 操作 系统 。 

(2) 不 支持 NAP: 运行 不 含有 NAP 客户 端的 操作 系统 的 计算 机 。 

IEEE 802. 1x 和 VPN 的 NAP 强制 方式 不 需要 为 健康 评估 管理 计算 机 ,但 是 身份 验证 
和 授权 计算 机 则 需要 被 管理 。 对 于 IPSec 的 NAP 强制 方式 ,计算 机 可 以 不 被 管理 ,但 推荐 
其 接受 管理 。 
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不 可 管理 的 计算 机 主要 分 为 以 下 两 种 。 

(1) 支持 NAP: 运行 Windows Vista、Windows XP SP3 或 Windows Server 2008 的 计 
算 机 ,以 及 使 用 NAP 客户 端的 其 他 操作 系统 。 

(2) 不 支持 NAP: 运行 不 含有 NAP 客户 端的 操作 系统 的 计算 机 。 

2. 域 控制 器 

域 控制 器 的 主要 功能 就 是 为 内 网 用 户 和 计算 机 提供 基本 的 身份 认证 。 在 网 络 中 部 署 和 
应 用 NAP 强制 之 前 ,首先 应 在 域 中 创建 相应 的 用 户 账户 或 组 ,例如 ,NAP 免除 安全 组 、 测 试 
用 户 组 等 。 

NAP 免除 安全 组 用 于 存储 网 络 中 的 非 NAP 客户 端 , 如 Windows Server 2003、 
Windows XP( 非 SP3) 系 统 用 户 等 。 这 些 用 户 无 法 应 用 各 种 NAP 强制 ,管理 员 为 符合 安全 
策略 和 不 符合 安全 策略 的 客户 端 设置 访问 权限 后 ,必须 单独 为 这 些 客户 端 指定 是 授权 访问 ， 
还 是 限制 访问 。 

测试 用 户 组 则 用 于 存储 广泛 应 用 NAP 强制 之 前 的 测试 工作 。 不 同 的 NAP 强制 分 别 
限制 不 同类 型 的 网 络 访问 。 如 果 由 于 应 用 了 网 络 健康 评估 策略 ,而 影响 了 正常 的 网 络 应 用 ， 
就 得 不 偿 失 了 。 因 此 ,应 用 NAP 强制 之 前 必须 在 小 范围 内 进行 测试 。 

3. 证 书 服务 器 

数字 证 书 是 最 常用 的 网 络 安全 保护 手段 之 一 。 在 部 署 NAP 强制 的 网 络 中 ,证 书 服务 
器 的 主要 作用 ,就 是 为 网 络 中 的 各 种 服务 器 角色 或 客户 端 颁发 数字 证 书 , 实 现 彼 此 之 间 的 身 
份 验证 。 证 书 服务 器 在 IPSec 强制 的 网 络 中 是 必需 的 ,而 在 其 他 NAP 强制 的 网 络 中 则 是 可 
选 的 。 例 如 ,在 VPN 强制 网 络 中 ,如 果 用 户 选择 了 特定 的 加 密 传 输 协 议和 身份 验证 方式 ， 
则 可 能 需要 准备 数字 证 书 ,验证 VPN 服务 器 和 VPN 客户 端 身份 的 有 效 性 。 

4. 网 络 策略 服务 器 

网 络 策略 服务 器 (NPS) 是 任何 NAP 强制 都 必需 的 ,提供 各 种 安全 健康 评估 、 记 账 等 功 
能 ,是 Windows Server 2008 系统 的 新 增 功能 之 一 。NPS 允许 用 户 通 过 RADIUS 服务 器 、 
RADIUS 代理 和 网 络 访问 保护 策略 服务 器 ,集中 配置 和 管理 网 络 策略 。 

(1) RADIUS 服务 器 

从 Windows Server 2008 系统 开始 ,RADIUS 服务 器 已 经 被 集成 在 NPS 中 。 作 为 
RADIUS 服务 器 ,NPS 为 许多 类 型 的 网 络 访问 (包括 无 线 、 身 份 验证 切换 、VPN 远程 访问 ， 
路 由 器 到 路 由 器 的 连接 ) 执 行 集中 化 的 连接 身份 验证 ,授权 和 记 账 。 

RADIUS 服务 器 具有 对 用 户 账户 信息 的 访问 权限 ,并 可 以 检查 网 络 访问 身份 验证 凭 
据 。 如 果 用 户 的 凭据 是 真实 的 ,并 且 连 接 尝试 获得 授权 ,RADIUS 服务 器 将 根据 指定 条 件 
向 用 户 授予 访问 权限 ,并 将 网 络 访问 连接 记录 到 记 账 日 志 中 。 使 用 RADIUS 允许 在 一 个 中 
心 位 置 (而 不 是 在 每 台 访 问 服务 器 上 ) 收 集 并 维护 网 络 访问 用 户 身份 验证 ,授权 和 记 账 数据 。 

(2) RADIUS 代理 

作为 RADIUS 代理 ,NPS 将 身份 验证 和 记 账 消息 转发 到 其 他 RADIUS 服务 器 。 使 用 
NPS, 各 组 织 还 可 以 在 保留 对 用 户 身份 验证 ,授权 和 记 账 活动 控制 的 同时 ,将 远程 访问 基础 
结构 外 包 给 服务 提供 商 。 

(3) NAP 策略 服务 器 

NAP 包含 在 Windows Vista 和 Windows Server 2008 中 ,并 通过 确保 按照 组 织 网 络 健 
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康 策略 配置 客户 端 计算 机 后 才 允 许 其 连接 到 网 络 资源 ,从 而 有 助 于 保护 对 专用 网 络 的 访问 。 
此 外 ,计算 机 连接 到 网 络 时 ,NAP 会 监视 客户 端 计算 机 对 管理 员 定 义 的 健康 策略 的 遵从 性 
情况 。 使 用 NAP 自动 更 新 ,可 以 自动 更 新 不 符合 要 求 的 计算 机 ,以 使 其 遵从 健康 策略 ,从 
而 使 它们 能 够 连接 到 网 络 。 

系统 管理 员 可 以 定义 网 络 健康 策略 ,并 使 用 NPS 中 或 其 他 公司 (取决 于 NAP 部 署 ) 提 
供 的 NAP 组 件 创建 这 些 策略 。 

健康 策略 可 以 包含 软件 要 求 .安全 更 新 要 求 和 所 需 的 配置 设置 等 内 容 。NAP 通过 检查 
和 评估 客户 端 计算 机 的 健康 ,在 认为 客户 端 计算 机 不 健康 时 限制 网 络 访问 以 及 修正 不 健康 
的 客户 端 计 算 机 以 进行 充分 的 网 络 访问 ,来 强制 运行 健康 策略 。 

5. 更 新 服务 器 

当 用 户 配置 健康 要 求 策略 来 强制 受 限 访问 时 ,更 新 服务 器 是 不 符合 的 NAP 客户 端 可 
以 访问 的 内 网 的 子 集 。 更 新 服务 器 包括 网 络 基 础 结构 服务 器 和 健康 更 新 服务 器 。 不 符合 的 
NAP 客户 端 ,使 用 这 些 服务 器 或 服务 器 上 的 资源 来 自动 或 手动 执行 更 新 。 健 康 要 求 策略 也 
可 以 为 不 支持 NAP 的 客户 端 强制 受 限 访问 。 

如 果 使 用 报告 模式 , 则 不 需要 更 新 服务 器 。 在 报告 模式 下 ,不 符合 的 NAP 客户 端的 访 
问 不 受 限制 。 但 是 ,为 了 避免 不 符合 健康 要 求 的 计算 机 为 内 网 带 来 的 威胁 ,必须 最 终 转 换 到 
强制 模式 , 即 需要 建立 更 新 服务 器 。 

在 VPN 和 DHCP 模式 下 不 符合 的 NAP 客户 端 ,可 以 访问 的 更 新 服务 器 列表 ,需要 与 
NAP 客户 端 健康 评估 匹配 的 网 络 策略 的 NAP 强制 设置 中 ,指定 的 更 新 服务 器 组 相符 合 。 
更 新 服务 器 组 是 一 个 IPv4 地 址 和 IPv6 地 址 的 列表 。 该 列表 应 该 包括 网 络 基础 结构 服务 器 
和 健康 更 新 服务 器 。 

基础 结构 服务 器 包括 以 下 部 分 。 

(1) DHCP 服务 器 : 为 不 符合 的 NAP 客户 端 分 配 IPv4 地 址 和 其 他 配置 参数 ,保证 其 
可 以 访问 更 新 服务 器 。 如 果 用 户 正 使 用 DHCP 强制 方式 , 则 不 需要 添加 支持 NAP 的 
DHCP 服务 器 作为 更 新 服务 器 。 

(2) DNS 服务 器 和 WINS 服务 器 : 为 不 符合 的 NAP 客户 端 提供 名 称 解 析 , 保 证 其 可 
以 解析 名 称 ,并 访问 其 他 更 新 服务 器 。 

(3) 活动 目录 域 控 制 器 : 保证 不 符合 的 NAP 客户 端 可 以 执行 域 登录 ,访问 基于 域 的 资 
源 , 如 文件 共享 。 

(4) Internet 代理 服务 器 : 保证 不 符合 的 NAP 客户 端 可 以 访问 Internet。 

(5) HRA: 保证 不 符合 的 NAP 客户 端 可 以 在 IPSec 强制 模式 下 获取 健康 证 书 。 

更 新 NAP 客户 端 系统 健康 需要 健康 更 新 服务 器 ,包括 以 下 部 分 。 

(1) 疑难 解答 URL 服务 器 : 在 “更 新 服务 器 和 疑难 解答 URL” 对 话 框 的 疑难 解答 URL 
文本 框 中 ,指定 Web 服务 器 。 

(2) 反 病 毒 更 新 服务 器 : 这 些 服务 器 可 能 位 于 Internet 上 。 如 果 用 户 拥有 Internet 代 
理 服务 器 作为 更 新 服务 器 , 则 不 需要 包含 基于 Internet 的 反 病毒 更 新 服务 器 。 如 果 在 内 网 
中 拥有 反 病 毒 更 新 服务 器 , 则 应 该 将 其 作为 更 新 服务 器 ,因为 在 尝试 连接 访问 基于 Internet 
的 反 病毒 服务 器 前 ,通常 会 首先 在 这 些 服 务 器 上 检查 更 新 。 

(3) 反 间 谍 更 新 服务 器 : 如 同 反 病毒 服务 器 一 样 ,如 果 在 内 网 中 配置 了 反 间 谍 更 新 服 
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务 器 , 则 需 将 其 作为 更 新 服务 器 。 如 果 只 存在 于 Internet 上 ,确保 Internet 代理 服务 器 包含 
在 更 新 服务 器 组 中 。 

(4) 软件 更 新 服务 器 : 如 同 反 病毒 服务 器 一 样 ,如 果 在 内 网 中 配置 了 软件 更 新 服务 器 ， 
则 需 将 其 作为 更 新 服务 器 。 如 果 只 存在 于 Internet 上 ,确保 Internet 代理 服务 器 包含 在 更 
新 服务 器 组 中 。 

更 新 NAP 客户 端 所 需要 的 健康 更 新 服务 器 的 设置 依赖 于 用 于 健康 评估 的 SHV 。 


11.2.2 安装 NPS 


在 Active Directory 环境 中 部 署 NAP 系统 ,用 户 可 以 更 充分 地 使 用 其 提供 的 网 络 访问 
保护 功能 。 客 户 端 可 以 是 Windows Server 2008、Windows Vista 或 Windows XP SP3 系 
统 , 同 时 确保 已 加 入 域 。 默 认 安 装 完成 Windows Server 2008 后 ,没有 安装 网 络 策略 和 远程 
访问 服务 ,需要 网 络 用 户 手动 安装 该 服务 。 

(1) 运行 “添加 角色 向 导 ”, 在 “选择 服务 器 角色 ”对 话 框 中 ,选中 “网 络 策略 和 访问 服务 ” 
复 选 框 ,如 图 11-2 所 示 。 
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》 选择 服务 器 角色 


< 上- 加 到 测 


图 11-2 “选择 服务 器 角色 ”对 话 框 


(2) 单 击 “ 下 一 步 " 按 钮 ,显示 “网 络 策略 和 访问 服务 "对话 框 。 其 中 概要 介绍 了 “网 络 策 
略 和 访问 服务 完成 的 功能 , 单 击 * 其 他 信息 ?中 的 链接 可 以 查看 详细 帮助 文件 。 单 击 “ 下 一 
步 ” 按 钮 ,显示 如 图 11-3 所 示 的 “选择 角色 服务 ”对 话 框 。 在 “角色 服务 ”列表 中 ,选中 “网 络 
策略 服务 器 " 复 选 框 。 

提示 : 本 文中 设计 的 案例 只 是 网 络 访问 保护 系统 的 一 个 简单 应 用 ,适用 于 大 多 数 网 络 
环境 。 角 色 服 务 中 的 “路 由 和 远程 访问 服务 "“ 健 康 注 册 机 构 ” 和 "主机 凭据 授权 协议 ”只 
在 特殊 环境 中 才 会 用 到 ,这 里 不 作 选 择 。 需 要 注意 的 是 ,选择 这 些 角色 后 ,需要 添加 相应 的 
角色 服务 和 功能 组 件 , 如 选择 "健康 注册 机 构 " 角 色 ,就 需要 安装 Active Directory 证 书 服务 、 
Web 服务 器 等 。 

(3) 单 击 “ 下 一 步 ” 按 钮 ,显示 “确认 安装 选择 ”对 话 框 。 其 中 列 出 了 已 选择 安装 的 服务 
设置 信息 。 单 击 “ 安 装 ” 按 钮 ,开始 安装 选择 的 服务 。 安 装 完成 后 ,显示 如 图 11-4 所 示 的 “ 安 
装 结果 ”对 话 框 。 
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图 11-4 “安装 结果 ”对 话 框 
(4) 单 击 “ 关 闭 ” 按 钮 .完成 “网 络 策略 和 访问 服务 ”的 安装 。 
11.2.3 配置 NAP 向导 


初级 用 户 可 以 通过 配置 NAP 向 导 ,快速 部 署 希望 实施 的 NAP 强制 。 如 果 对 NAP 运 
行 机 制 比较 熟悉 , 则 用 户 也 可 以 通过 直接 配置 相关 NAP 强制 所 需 的 策略 ,来 达到 实施 NAP 
强制 的 目的 ,主要 包括 连接 请 求 策略 网络 策略 和 健康 策略 。 在 运行 配置 NAP 向 导 的 过 程 
中 ,将 自动 生成 相应 的 策略 。 

依次 选择 “开始 ”一 “管理 工具 ”>“ 网 络 策略 服务 器 ”选项 ,显示 如 图 11-5 所 示 的 “网 络 
策略 服务 器 "窗口 。 在 右 侧 下 拉 列 表 框 中 ,选择 “网 络 访问 保护 (NAP)” 选 项 。 

单 击 “配置 NAP” 按 钮 ,显示 如 图 11-6 所 示 的 “选择 与 NAP 一 起 使 用 的 网 络 连 接 方法 ” 
对 话 框 。 根 据 需 要 在 下 拉 列 表 框 中 ,选择 网 络 连接 方式 (NAP 强制 方式 ) ,系统 会 自动 为 
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图 11-5 “网 络 策略 服务 器 "窗口 
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图 11-6 “选择 与 NAP 一 起 使 用 的 网 络 连 接 方法 ”对 话 框 


NAP 健康 要 求 策略 创建 一 个 名 称 , 也 可 根据 需要 进行 修改 。 接 下 来 的 操作 依据 所 选 网 络 连 
接 方法 的 不 同 ,配置 过 程 也 会 有 所 不 同 ,详细 操作 步骤 参考 本 章 后 续 内 容 的 介绍 。 


11.2.4 配置 更 新 服务 器 


实施 NAP 强制 的 关键 目的 并 不 是 绝对 禁止 非 NAP 客户 端 或 存在 安全 风险 的 NAP 客 
户 端 访问 内 部 网 络 ,而 是 如 何 帮 助 这 些 客户 端 安全 地 接 人 网 络 ,访问 所 需 资源 。 更 新 服务 的 
功能 就 是 帮助 不 符合 策略 要 求 的 NAP 客户 端 完善 系统 安全 配置 ,如 提供 Windows 
Update、 防 病毒 程序 更 新 等 。NAP 系统 中 所 需 的 更 新 服务 器 必须 在 准备 工作 中 一 一 部 署 ， 
在 NPS 服务 器 上 只 需 创 建 这 些 服 务 器 的 分 组 列表 即 可 。 

在 “网 络 策略 服务 器 ”控制 台中 ,展开 “网 络 访问 保护 ”节点 , 右 击 “更 新 服务 器 组 ”并 在 弹 
出 的 快捷 菜单 中 选择 “新 建 "选项 。 在 出 现 的 “新 建 更 新 服务 器 组 ”对 话 框 中 ,可 以 通过 DNS 
名 称 IPv4 地 址 或 IPv6 地 址 指定 更 新 服务 器 ,如 图 11-7 所 示 。 
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单 击 “ 添 加 ”按钮 ,显示 如 图 11-8 所 示 的 “添加 新 服务 器 ”对 话 框 ,在 “友好 名 称 ”文本 框 
中 输入 便于 识别 的 服务 器 名 称 , 在 “IP 地 址 或 DNS 名 称 ” 文 本 框 中 输入 企业 网 络 提供 指定 
功能 的 服务 器 名 称 或 IP 地 址 。 最 后 , 单 击 “ 确 定 ” 按 钮 ,将 其 添加 到 新 建 更 新 服务 器 组 中 即 
可 。 按 照 这 种 方法 可 以 向 统一 更 新 服务 器 组 中 添加 多 台 更 新 服务 器 ,并 可 以 配置 多 个 更 新 
服务 器 组 。 


EE 
划 Ee 
组 名 @) Br] 
JE 下 地 则 或 8 名称 中 

下 ET | 关公 地 寺村 服务 器， 请 从 以下 列表 过 择 一 个 ?地址 
Li Tf 地 址 四): 志 
CE mu | mm 

图 11-7 “新 建 更 新 服务 器 组 "对 话 框 图 11-8 “添加 新 服务 器 "对 话 杠 


11.3 配置 IPSec 强制 


IPSec 本 身 就 是 一 种 基于 IP 的 通信 安全 保障 机 制 。 通 过 在 企业 网 络 的 部 分 客户 端 或 
服务 器 之 间 启 用 IPSec, 可 以 大 大 提升 网 络 通信 的 安全 性 和 可 靠 性 。 而 NAP 系统 的 IPSec 
强制 则 是 在 此 基础 上 ,增加 了 验证 通信 双方 系统 健康 评估 环节 ,避免 安全 风险 的 扩散 。 只 有 
通过 NPS 服务 器 的 健康 策略 评估 ,获得 健康 认证 证 书 ,客户 端 计算 机 才能 建立 到 其 他 计算 
机 或 服务 器 的 IPSec 连接 。 


11.3.1 配置 PKI 


为 IPSec 强制 配置 基于 Windows 的 PKI, 需 要 完成 以 下 工作 。 

O@ 添加 根 CA( 根 据 需 要 ) 。 

@ 在 发 布 CA 级 别 创建 NAP CA。 

@ 验证 NAP CA 的 属性 (企业 CA) 。 

@ 为 健康 证 书 创建 证 书 模板 (企业 CA) 。 

@ 配置 NAP CA 允许 非 默认 的 生命 周期 (企业 CA) 。 

配置 健康 证 书 模板 的 自动 注册 (企业 CA) 。 

@ 为 健康 证 书 公布 证 书 模板 (企业 CA) 。 

@ 配置 证 书 的 自动 注册 。 

1. 添加 根 CA 

如 果 用 户 没 有 基于 Windows 的 PKI, 则 必须 在 安全 网 络 中 的 计算 机 上 创建 根 CA ,根据 
企业 需要 和 安全 策略 创建 中 间 一 级 的 CA。 

2. 在 发 布 CA 级 别 创建 NAP CA 

为 了 在 运行 Windows Server 2008 的 计算 机 上 添加 NAP CA, 使 用 "服务 器 管理 器 ”, 安 
装 “Active Directory 证 书 服务 ”角色 。 对 于 NAP CA, 不 需要 证 书 颁发 机 构 Web 自动 注册 、 
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联机 应 答 ,或 网 络 设备 自动 注册 服务 角色 。 在 安装 活动 目录 证 书 服务 角色 的 过 程 中 ,如 果 
NAP 客户 端 没有 使 用 HRA 的 DNS 发 现 ,保证 NAP CA 计算 机 作为 证 书 层级 的 发 布 CA 
中 的 从 属 .独立 的 CA, 此 时 ,保证 NAP CA 计算 机 是 从 属 的 企业 CA 。 

3. 验证 NAP CA 的 属性 


EEE ET re ol 
必须 验证 NAP CA 不 需要 管理 员 批准 要 求 的 证 汪汪 站 站 

蔬 ,具体 操作 步骤 如 下 。 本 
QD 依次 选择 “开始 "一 “管理 工具 ”一 “证书 颁 发 机 | 中 3 | 区 和 

构 ? 选 项 ,显示 如 图 11-9 所 示 的 “certsrv-[ 证 书 颁发 机 构 Tn 

(本 地 )]” 窗 口 。 
(2) 右 击 NAP CA 的 名 称 并 在 快捷 菜单 中 选择 “ 属 PE 

性 ?选项 ,显示 “coolpen-AD1-CA 属性 ”对 话 框 ,切换 到 、 

如 图 11-10 所 示 的 “策略 模块 ”选项 卡 。 图 11-9 人 

(本 地 )]” 窗 口 


(3) 单 击 “ 属 性 ”按钮 ,显示 如 图 11-11 所 示 的 “ 属 
性 ”对 话 框 。 在 “请 求 处 理 ” 选 项 卡 中 ,选中 “如 果 可 以 的 话 , 按 照 证 书 模板 中 的 设置 。 否 则 ， 
将 自动 颁发 证 书 ,” 单 选 按钮 。 
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图 11-10 “策略 模块 "选项 卡 图 11-11 “属性 ”对 话 框 


(4) 连续 单 击 * 确 定 ” 按 钮 ,保存 设置 。 

4. 为 健康 证 书 创建 证 书 模板 

对 于 基于 Windows Server 2003 的 NAP CA, 必 须 手动 创建 系统 健康 身份 验证 证 书 模 
板 ,保证 IPSec 安全 组 的 成 员 可 以 自动 注册 长 生命 周期 的 健康 证 书 。 对 于 基于 Windows 
Server 2008 的 NAP CA ,系统 中 已 经 包括 了 系统 健康 身份 验证 证 书 模板 ,但 是 ,必须 确保 系 
统 健康 身份 验证 证 书 模板 拥有 适当 的 自动 注册 的 权限 。 

(1) 依次 选择 “开始 ”一 “运行 ”选项 ,在 “打开 ”文本 框 中 输入 certtmpl. msc, 按 Enter 键 
运行 ,显示 如 图 11-12 所 示 的 “证 书 模板 控制 台 ” 窗 口 。 

(2) 布 击 “ 工 作 站 身份 验证 ”并 在 快捷 菜单 中 选择 “复制 模板 ”选项 ,显示 如 图 11-13 所 
示 的 “复制 模板 "对话 框 ,设置 模板 最 低 支 持 的 操作 系统 版 本 ,建议 选中 Windows Server 
2003 Enterprise 单 选 按钮 ,以便 可 以 将 创建 后 的 模板 应 用 到 运行 Windows Server 2003 系 
统 的 证 书 服务 器 上 。 
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图 11-12 “证 书 模板 控制 台 ” 窗 口 图 11-13 “复制 模板 "对话 框 


(3) 单 击 “ 确 定 ” 按 钮 ,显示 如 图 11-14 所 示 的 “新 模板 的 属性 ”对 话 框 。 在 “模板 显示 名 
称 ”文本 框 中 ,输入 “系统 健康 身份 验证 *"。 选 中 “在 Active Directory 中 发 布 证 书 ” 复 选 框 ,使 
该 证 书 在 域 环境 中 颁发 。 

(4) 切换 到 “扩展 ”选项 卡 , 在 “这 个 模板 中 包括 的 扩展 ”列表 中 ,选择 “应 用 程序 策略 ” 选 
项 。 单 击 “ 编 辑 ” 按 钮 ,显示 如 图 11-15 所 示 的 “编辑 应 用 程序 策略 扩展 ”对 话 框 。 
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[FaaaamcE J 
最 低 支 的 ck， Windwwy Sorver 2003 Eterpris 一 1 


用 昌 序 和 
CIETIETTTI 
模板 各); 
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CF a 3 
克 在 hetive Directory 中 发 布 证 蔬 全 ] 
人 ye" Preeor -重要 站 
1 i ET 匡 丁 二 肌 7 
厂 全 这 个 扩展 成 为 关键 @) 

[0 Cs ]_ sa | 

图 11-14 “新 模板 的 属性 ”对 话 框 图 11-15 “编辑 应 用 程序 策略 扩展 "对话 框 


(5) 单 击 “ 添 加 ”按钮 ,显示 如 图 11-16 所 示 的 “添加 应 用 程序 策略 ”对 话 框 。 在 “应 用 程 
序 策略 ”列表 中 ,选择 “系统 健康 身份 验证 ”选项 。 

(6) 连续 单 击 “ 确 定 ” 按 钮 ,返回 “新 模板 的 属性 ”对 话 框 ,切换 到 如 图 11-17 所 示 的 “ 安 
全 ”选项 卡 ,确保 Authenticated Users 组 拥有 “ 读 取 ”权限 即 可 。 

(7) 单 击 “ 添 加 ”按钮 ,显示 如 图 11-18 所 示 的 “选择 用 户 、 计 算 机 、 服 务 账户 或 组 ”对 话 
框 ,输入 IPSec NAP 安全 组 的 名 称 , 单 击 “ 检 查 名 称 ” 按 钮 ,检查 输入 的 组 名 是 否 正 确 。 

(8) 单 击 “ 确 定 ” 按 钮 ,在 “安全 ”选项 卡 中 ,选择 IPSec NAP 安全 组 的 名 称 , 在 “IPSec 的 
权限 ”列表 中 选择 “注册 ”和 “自动 注册 ”对 应 的 “允许 ” 复 选 框 ,如 图 11-19 所 示 。 
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| 
要 规 。 | 。 请 求 % 理 。 | 。 合用 者 名 种。 | 。 敢 各 | 
发 要 求 。 | 。 取代 模板 | 。 打下 二 


名 Daneis Capnters COOLFEN Densin Conpeters) 
Eteryrise Mnins COOLEINEnterprise hiniaa 


E:T 1 
tbenti ested Users 的 可 限 ) 村 
完全 控制 -| 
这 了 日 “ 口 
EN a & 
注册 日 日 
ES [= | 


了 inialsglntz 腿 
Cj_w | mE Bm | mm 
图 11-16 “添加 应 用 程序 策略 "对话 框 图 11-17 “安全 ”选项 卡 


过 全 用户 、 计 村 机 、 服 务 站 户 芝 组 vy 


图 11-18 “选择 用 户 、 计 算 机、 服务 账户 或 组 ”对 话 框 图 11-19 赋予 IPSec 安全 组 权限 


(9) 单 击 “ 确 定 ” 按 钮 ,保存 设置 。 此 时 ,新 模板 即 可 添加 到 模板 控制 台中 ,如 图 11-20 
所 示 。 
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11-20 成功 创建 模板 
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5. 发 布 新 的 健康 证 书 模板 
(1) 在 根 CA 计算 机 上 ， “证 书 颁发 机 构 ” 管 理 单元 , 右 击 “证 书 模板 ”, 在 快捷 菜单 
中 依次 选择 “新 建 ”>“ 要 颁发 的 证 书 模 板 ” 选 项 ,显示 如 图 11-21 所 示 的 “启用 证 书 模板 ”对 


选中 “系统 健康 身份 验证 ”, 单 击 “ 确 定 ” 按 钮 , 即 可 颁发 该 模板 ,如 图 11-22 所 示 。 
证 惫 机 生地 vesslaes_AIEA 让 和 2 可 
文件 四” 护 作 () 吾 看 ff) 大 动 g) 
CE 到 : 
读 吕 时 | 和 ET Tt mmsxdbatiasaeEeslgrpalse 加 > 有 
en 
i -了 四 
了 gt 
ea Ee 仙 ee -ra 
上 四 aaaawe rr | 
路 由 器 陪 机 i 谊 户 痰 身份 验证 
通过 身份 蛤 证 的 会 话 襄 户 演 导 从 验证 了 
CEDJI_w 
图 11-21 “启用 证 书 模板 ”对 话 框 图 11-22 成 功 发 布 新 的 模板 


6. 配置 NAP CA 允许 非 默认 的 生命 周期 

企业 NAP CA 必须 配置 为 允许 非 默 认 的 生命 周期 。 否 则 ,符合 的 NAP 客户 端 将 被 发 
布 健康 证 书 ee 命 周 期 的 健康 证 书 ,而 不 是 HRA 配置 中 指定 的 短 生 命 周 期 。 

配置 企业 NAP CA 允许 非 默 认 的 生命 周期 的 具体 操作 步骤 如 下 。 

(1) 在 企业 NAP CA 计算 机 的 命令 行 提示 符 窗口 中 ,运行 如 下 命令 ,显示 如 图 11-23 所 示 


lales\CertificateAuthority MicrosoftDefault .Policy\EditPlage: 


时 : 
EditPlags REG_DUORD - 118t4e C4414446> 

EDIT? REQWESTEXTENSIONLIST 一 2 
EDITF_DISABLEEXTENSIONLIST 一 4 
EDITP_ADDOLDNEYUSAGE 一 和 
EDITP -BAS1CCONSTRAINISCRITICAL -4 <64) 
EDIT BABLEAKINEYID C256> 
EDLTP_ENMBLEDEPAULISMINE ~ 1808@ 《65536》 
EDITP_ENABLECHASECLIENTDC — 18989898 C1848576) 


EditFlags REG_DVORD ~ 118i6e C1114478) 
EDITF_REQUESTEATENSIONLIST 一 2 


EDITF_DISABLEEXTENSIONLIST 一 4 
EDPITP_ADDOLDKEYUShGE 一 8 
EDITF_ATIRIBUTEENDDATE 一 29 《32》 


图 11-23 配置 企业 NAP CA 


(2) 运行 net stop certsvc 和 net start certsvc 命令 ,重启 活动 目录 证 书 服务 ,如 图 11-24 
所 示 。 


7. 配置 健康 证 书 模板 的 自动 注册 
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为 了 使 边界 计算 机 (IPSec NAP 安全 组 成 员 ) 自 动 获取 长 生命 周期 的 健康 证 书 , 必 须 在 


活动 目录 中 启用 证 书 自动 注册 。 


在 “组 策略 管理 编辑 器 ”窗口 中 ,依次 展开 “计算 机 配置 >“ 策略 ”>“Windows 设置 ”一 
“安全 设置 ”>“ 公 和 钥 策略 ”选项 。 双 击 “ 证 书 服务 客户 端 -自动 注册 ”, 显 示 如 图 11-25 所 示 的 
“证 书 服务 客户 端 -自动 注册 属性 "对话 框 。 在 “配置 型 号 ”下 拉 列 表 框 中 ,选择 “已 启用 ” 选 
项 ,并 选中 “ 续 订 过 期 证 书 、 更 新 未 决 证 书 并 删除 吊销 的 证 书 ” 和 “更 新 使 用 证 书 模板 的 证 书 ” 


复 选 框 。 单 击 “ 确 定 ” 按 钮 ,保存 设置 即 可 。 
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图 11-24 重启 Active Directory 证 书 服务 图 11-25 “证 书 服务 客户 端 -自动 注册 属性 "对话 框 


11.3.2 配置 HRA 


上 置 HRA 主要 包括 添加 HRA 到 IPSec NAP 安全 组 ,安装 计算 机 证 书 、 配 置 网 络 策略 
和 访问 服务 角色 、 使 用 HRA 权限 配置 NAP CA、 配 置 HRA 的 属性 .为 RADIUS 代理 在 


HRA 上 配置 NPS 服务 和 为 SSL 配置 IIS。 
1. 添加 HRA 到 IPSec NAP 安全 组 


HRA 计算 机 账户 必须 是 IPSec NAP 安全 组 中 的 成 员 , 以 保证 其 立即 拥有 一 个 长 期 的 
健康 证 书 ,允许 其 与 安全 网 络 中 的 计算 机 通信 。 添 加 HRA 计算 机 账户 到 IPSec NAP 安全 


组 中 。 

(1) 在 “活动 目录 用 户 和 计算 机 ”窗口 中 ,双击 IPSec 
NAP 安全 组 的 名 称 , 显 示 如 图 11-26 所 示 的 “IPSec 属性 ” 
对 话 框 。 

(2) 切换 到 “成 员 ” 选 项 卡 , 单 击 “ 添 加 ”按钮 ,显示 “ 选 
择 用 户 、 联 系 人 、 计 算 机 或 组 ”对 话 框 。 单 击 “ 对 象 类 型 " 按 
钮 ,显示 如 图 11-27 所 示 的 “对 象 类 型 "对话 框 ,选中 “计算 
机 ” 复 选 框 。 

(3) 单 击 “ 确 定 ” 按 钮 ,返回 “选择 用 户 、 联 系 人 、 计 算 
机 或 组 ”对 话 框 。 在 “输入 对 象 名 称 来 选择 ”文本 框 中 , 输 
入 HRA 计算 机 的 名 称 , 单 击 “ 检 查 对 象 ”按钮 ,检查 输入 
的 计算 机 是 否 正确 。 


隔世 
壳 失 | 成 册 。| 来 到 于 | 管理 者 | 对 象 | 去 全 | 属性 编辑 基 | 
天 Tsee 
起 和 inden 2000 晶 前 亲本 )ID- RN 
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组 作用 域 所 类 型 
杞 T 安全 组 名 ) 
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图 11-26 “IPSec 属性 ”对 话 框 
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(4) 连续 单 击 * 确 定 ?按钮 ,保存 设置 即 可 。 

2. 使 用 HRA 权限 配置 NAP CA 

NAP CA 必须 配置 允许 HRA 组 件 请 求证 书 的 权限 , HRA 计算 机 也 可 以 被 授予 管理 
CA 的 权限 ,以 保证 其 可 以 从 NAP CA 证 书 数据 库 中 自动 删除 过 期 的 证 书 。 

(1) 在 “证 书 颁 发 机 构 ” 管 理 单元 , 右 击 NAP CA 的 名 称 , 在 快捷 菜单 中 选择 “属性 ” 选 
项 ,打开 “coolpen-LXH-CA 属性 ”对 话 框 ,并 切换 到 “安全 ”选项 卡 。 

(2) 单 击 “ 添 加 ”按钮 ,打开 “选择 用 户 、 联 系 人 、 计 算 机 或 组 ”对 话 框 。 单 击 “ 对 象 类 型 ” 
按钮 ,显示 如 图 11-28 所 示 的 “对 象 类 型 ”对话 框 ,选中 “计算 机 ” 复 选 框 。 
vl 


守 规 一 [一 一 [一 [一 [| 
证 3 管理 各 | 注册 代理 | 审 必 | 家 和 


过 择 用 户 、 联 系 人 、 计 算 机 或 姐 | 
拉稀 开 


对 旬 交 型 @) 
了 Ba 旧 内 机 安全 主体 


到 | 入- 


| 


图 11-27 “对 象 类 型 "对话 框 (1) 图 11-28 “对 象 类 型 "对 话 框 (2) 


(3) 单 击 “ 确 定 ” 按 钮 ,返回 “选择 用 户 、 联 系 人 、 计 算 机 或 组 ”对 话 框 。 在 “输入 对 象 名 称 
来 选择 ”文本 框 中 ,输入 HRA 计算 机 的 名 称 , 单 击 “ 检 查 对 象 ”按钮 ,检查 输入 的 计算 机 名 是 
否 正确 。 

(4) 单 击 “ 确 定 ” 按 钮 .返回 “安全 ”选项 卡 。 在 “组 或 用 户 名 ”列表 中 ,选择 HRA 计算 机 
的 名 称 ,然后 在 权限 列表 中 选中 “颁发 和 管理 证 书 ”" 和 “请 
求证 书 ” 复 选 框 。 如 果 使 用 自动 CA 数据 库 管理 , 则 需要 
选中 “管理 CA" 复 选 框 ,如 图 11-29 所 示 。 

(5) 单 击 “ 确 定 ” 按 钮 ,保存 设置 .并 关闭 该 属性 对 
话 框 。 

3. 配置 HRA 的 属性 

(1) 在 安装 HRA 的 计算 机 上 ,依次 选择 “开始 ”一 “ 管 
理工 具 ” 一 “健康 注册 结构 ?选项 ,打开 如 图 11-30 所 示 的 
“健康 注册 机 构 ( 本 地 计算 机 )” 窗 口 。 

(2) 右 击 “证 书 颁 发 机 构 ” 并 选择 快捷 菜单 中 的 “ 属 
性 ”选项 ,显示 如 图 11-31 所 示 的 “证 书 颁发 机 构 属 性 ”对 
话 框 。 在 “设置 ”选项 卡 中 ,指定 适当 的 设置 如 HRA 要 求 图 11-29 选择 权限 


| | 
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ERITTETTTIEYETETTESTETT bg 
避 文件 0) 指 作 ) 二 看 证 口 和 帮助 00 
加 中 | lelBlm 
E ee 
po CA coolpon matieeclper LDA 1 

了 传 稍 贰 焉 
1 f 1 CR an | 
11-30 “健康 注册 机 构 ( 本 地 计算 机 )” 窗 口 图 11-31 “证 书 颁发 机 构 属性 ”对 话 框 


的 健康 证 书 的 有 效 时 间 , 以 及 HRA 是 否 使 用 独立 或 企业 CA。 

(3) 单 击 “ 确 定 ” 按 钮 ,保存 设置 即 可 。 

4. 作为 RADIUS 代理 在 HRA 上 配置 NPS 服务 

如 果 NAP 健康 策略 服务 器 与 HRA 计算 机 位 于 不 同 的 服务 器 上 , 则 必须 在 HRA 计算 
机 上 配置 NPS 服务 作为 RADIUS 代理 。 人 允许 HRA 计算 机 作为 RADIUS 客户 端 ,将 基于 
RADIUS 的 请 求 发 送 到 NAP 健康 策略 服务 器 。 

11.3.3 配置 NAP 健康 策略 服务 器 

为 了 配置 NAP 健康 策略 服务 器 ,需要 执行 以 下 内 容 。 

O 添加 网 络 策略 和 访问 服务 角色 。 

@ 安装 SHV。 

加 配置 RADIUS 服务 器 设置 。 

@ 为 IPSec 强制 配置 健康 要 求 策略 。 

1. 配置 RADIUS 服务 器 设置 

每 个 NAP 健康 策略 服务 器 都 是 一 个 RADIUS 服务 ,可 能 需要 进行 以 下 RADIUS 服务 
器 的 设置 。 

Q@ RADIUS 通信 的 UDP 端口 : 通常 只 有 在 NAP 健康 策略 服务 也 作为 RADIUS 服务 
器 使 用 ,并 且 其 他 RADIUS 客户 端 使 用 与 RFC 定义 的 不 同 的 端口 时 , 才 需 要 该 步骤。NAP 
健康 策略 服务 器 所 使 用 的 默认 端口 与 HRA 使 用 的 端口 相同 。 

@ RADIUS 日 志 : 用 户 可 以 配置 NPS 服务 来 记录 入 站 请 求 和 记 账 信息 在 本 地 文件 中 
或 SQL 数据 库 服 务 器 中 。 

注意 : 必须 使 用 HRA 配置 每 个 NAP 健康 策略 服务 器 作为 RADIUS 客户 端 。 

(1) 在 “网 络 策略 服务 器 ”管理 单元 中 ,展开 “RADIUS 客户 端 和 服务 器 ”, 右 击 
“RADIUS 客户 端 " 并 在 快捷 菜单 中 选择 “新 建 RADIUS 客户 端 "选项 ,显示 如 图 11-32 所 示 
的 “新 建 RADIUS 客户 端 "对 话 框 。 

(2) 在 “友好 名 称 ” 文 本 框 中 ,输入 HRA 计算 机 的 名 称 。 在 “地 址 (IP 或 DNS)" 文 本 框 
中 ,输入 HRA 计算 机 的 IPv4 地 址 、IPv6 地 址 或 DNS 域名 称 。 如 果 输 入 DNS 域名 称 ,需要 
单 击 “ 验 证 ”按钮 来 解析 名 称 为 正确 的 IP 地 址 。 


@。。 
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(3) 在 “共享 机 密 ” 区 域 , 在 “共享 机 密 ” 和 “确认 共享 机 密 ” 文 本 框 中 ,输入 NPS 服务 器 
和 HRA 计算 机 联合 的 共享 机 密 , 或 者 单 击 “ 生 成 " 按 | 
钮 使 NPS 服务 生成 一 个 RADIUS 共享 机 密 。 i 
(4) 选中 “RADIUS 客户 端 支持 NAP” 复 选 框 。 2 
[el 


(5) 单 击 “ 确 定 ”按钮 ,确认 并 保存 设置 。 为 每 个 AAA 
HRA 重复 以 上 步骤 ,发 送 健康 评估 请 求 到 NAP 健康 
策略 服务 器 。 ee 

2. 创建 IPSec 强制 策略 

建议 用 户 使 用 “配置 NAP 向 导 ” 创 建 相关 策略 , 详 | 短 吕 
细 操 作 过 程 参 照 本 书 “网 络 访问 保护 概述 "中 的 相关 介 | 半生 二 0 
绍 。 接 下 来 ,只 是 根据 需要 对 网 络 策略 进行 配置 。 使 [人 rms eens wmiane | 
用 “配置 NAP 向 导 ” 创 建 的 网 络 策略 只 包括 “符合 ”和 “于 
“不 符合 ”两 种 情况 ,因此 ,如 果 当 前 网 络 中 包含 不 支持 
NAP 功能 的 客户 端 ,还 需要 为 其 制定 健康 要 求 策 略 。 图 11-32 “新 建 RADIUS 客户 端 ” 

(1) 在 “网络 策略 服务 器 ”管理 单元 中 ,展开 * 策 对 话 框 
略 ?选项 ,选择 “网络 策略 ”选项 。 如 果 在 “选择 与 
NAP 一 起 使 用 的 网 络 连接 方法 "中 使 用 IPSec 作为 名 称 , 那 么 不 符合 的 NAP 客户 端的 网 
络 策略 名 称 就 是 *IPSec 不 符合 ", 如 图 11-33 所 示 。 默 认 情 况 下 ,向导 创建 的 网 络 策略 已 
经 启用 。 


CC 可 ] | 


11-33 网络 策略 


(2) 双击 “IPSec 符合 ”策略 ,显示 如 图 11-34 所 示 的 “IPSec 符合 属性 ?对 话 框 ,切换 至 
“设置 ”选项 卡 , 单 击 “NAP 强制 ?选项 ,确保 已 经 选中 * 人 允许 完全 网 络 访问 ” 单 选 按钮 , 即 符合 
健康 策略 要 求 的 计算 机 可 以 进行 正常 网 络 访问 。 

(3) 双击 “IPSec 不 符合 策略 ,显示 如 图 11-35 所 示 的 “IPSec 不 符合 属性 ”对 话 框 , 切 
换 至 “设置 ”选项 卡 , 单 击 “NAP 强制 ?选项 ,确保 已 经 选中 * 人 允许 受 限 访问 ? 单 选 按钮 , 即 不 符 
合 健康 策略 要 求 的 客户 端的 网 络 访问 将 受到 限制 。 
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图 11-35 “IPSec 不 符合 属性 ”对 话 框 


(4) 在 “更 新 服务 器 组 和 疑难 解答 URL” 区 域 , 单 击 “ 配 置 ” 按 钮 ,显示 如 图 11-36 所 示 的 
“更 新 服务 器 和 疑难 解答 URL” 对 话 框 ,如 果 前 期 准备 工作 中 已 经 部 署 了 更 新 服务 器 组 , 则 
在 此 处 选择 希望 允许 其 使 用 的 更 新 服务 器 即 可 。 在 “疑难 解答 URL” 文 本 框 中 ,输入 更 新 服 
务 器 的 Web 页 面 的 URL。 该 URL 当 用 户 单 击 “ 网 络 访问 保护 ”对 话 框 中 的 “详细 信息 ”时 
是 活动 的 。 

(5) 如 果 没 有 准备 好 NAP 强制 所 需 的 更 新 服务 器 组 , 则 可 以 在 这 里 单 击 “ 新 建 组 ” 按 
钮 ,显示 如 图 11-37 所 示 的 “新 建 更 新 服务 器 组 ”对 话 框 ,在 “组 名 ”文本 框 中 ,输入 更 新 服务 
器 组 的 名 称 ,例如 WSUS 等 。 单 击 “ 添 加 ”按钮 , 即 可 开始 向 该 组 中 添加 更 新 服务 器 。 更 新 


服务 器 组 中 通常 包括 DHCP 服务 器 .DNS 服务 器 、WSUS 服务 器 和 防 病毒 服务 器 等 。 完 成 
后 ,连续 单 击 “确定 ”按钮 保存 设置 即 可 。 
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图 11-36 “更 新 服务 器 和 疑难 解答 URL” 对 话 框 图 11-37 “新 建 更 新 服务 器 组 "对话 框 


(6) 为 非 NAP 客户 端 创建 网 络 策略 。 并 非 所 有 Windows 操作 系统 都 支持 NAP 客户 
端 ,因此 用 户 应 为 此 类 计算 机 创建 单独 网 络 访问 策略 ,建议 允许 其 完全 访问 。 在 “网 络 策略 
服务 器 ”窗口 的 “网 络 策略 ”列表 中 ,创建 非 NAP 客户 端的 IPSec 强制 策略 。 用 户 可 以 右 击 “网 
络 策略 ”选择 快捷 菜单 中 的 “新 建 " 选 项 ,启动 “新 建 网 络 策略 "向导 来 创建 网 络 策略 ,也 可 以 直 
接 复 制 现 有 网 络 策略 ,然后 对 其 进行 相应 配置 ,建议 采用 第 二 种 方式 。 例 如 , 右 击 "IPSec 不 符 
合 " 策 略 ,选择 快捷 菜单 中 的 “重复 策略 ”选项 , 即 可 创建 新 的 网 络 策略 。 将 复制 后 的 策略 命名 
为 "IPSec 非 NAP 客户 端 ", 并 将 其 上 移 到 最 顶端 ,确保 被 优先 处 理 , 如 图 11-38 所 示 。 


措 权 请 
地 和 访问 
拒 巡 访问 

0] 


11-38 为 非 NAP 客户 端 创建 网 络 策略 


(7) 双击 “IPSec 非 NAP 客户 端 " 策 略 ,显示 “IPSec 非 NAP 客户 端 属性 ”对 话 框 ,默认 
显示 “概述 ”选项 卡 。 复 制 后 的 新 网 络 策略 默认 是 禁用 的 ,可 以 在 这 里 选中 “策略 已 启用 ” 复 
选 本 将 其 启用 .如 图 11-39 所 示 。 
(8) 切换 至 如 图 11-40 所 示 的 “条 件 ” 选 项 卡 ,配置 此 网 络 策略 的 条 件 。 由 于 该 策略 是 
由 “IPSec 不 符合 "策略 重复 而 来 的 ,所 以 仍然 保留 着 原 有 条 件 。 在 这 里 需要 将 其 删除 。 
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如 果 忆 用， 本 5 在 执行 身份 答 这 对 村 评估 此 第 路 如 果 已 大 用 ， 了 5 将 不 主 纹 北 六 更。 
FF NEN 


“访问 权限 
mT EF 


Cs | enw | 
图 11-39 “概述 ”选项 卡 


IPs 所 A 究 记性 到 


11-40 “条 件 ” 选 项 卡 


(9) 单 击 “ 添 加 ”按钮 ,显示 “选择 条 件 ” 对 话 框 ,选中 “支持 NAP 的 计算 机 ”, 单 击 “ 添 加 ” 
按钮 ,显示 “支持 NAP 的 计算 机 ”对 话 框 ,选中 “ 仅 限 不 支持 NAP 的 计算 机 ” 单 选 按 钮 ,如 
图 11-41 所 示 。 连 续 单 击 “ 确 定 ” 按 钮 ,返回 “IPSec 非 NAP 客户 端 属性 ”对 话 框 。 

EE 划 


选择 一 个 亲 件 ， 再 单 击 “水 加 ”。 
i 
健康 莱 鸣 条 件 持 策 葵 公 限于 菏 足 健 齐 菜 玲 中 找 定 的 健康 标 : 准 和 宫 户 少 。 


和 过 其 NR 
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图 11-41 “选择 条 件 ”对 话 框 
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(10) 切换 至 如 图 11-42 所 示 的 “设置 "选项 卡 ,选中 “允许 完全 网 络 访问 " 单 选 按 钮 , 即 
允许 非 NAP 客户 端正 常 访问 网 络 。 如 果 需 要 限制 此 类 用 户 访问 , 则 可 以 选择 其 他 强制 
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图 11-42 “设置 "选项 卡 
(11) 单 击 “ 确 定 ” 按 钮 ,保存 设置 。 
3. 配置 SHV 
(1) 在 “网 络 策略 服务 器 "管理 单元 中 ,依次 展开 “网 络 访问 保护 ”一 “系统 健康 验证 
器 ”选项 ,在 右 侧 栏 中 ,双击 SHV, 然 后 配置 每 个 SHV 的 系统 健康 要 求 。 例 如 ,双击 
“Windows 安全 健康 验证 程序 ”, 显 示 如 图 11-43 所 示 的 “Windows 安全 健康 验证 程序 属 
性 ”对 话 框 。 


(2) 单 击 * 配 置 "按钮 ,显示 如 图 11-44 所 示 的 “Windows 安全 健康 验证 程序 ”对 话 框 , 根 
据 需 要 配置 基于 Windows Vista 和 Windows XP 的 系统 健康 要 求 即 可 。 
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图 11-43 “Windows 安全 健康 验证 


图 11-44 “Windows 安全 健康 验证 程序 ”对 话 框 
程序 属性 "对话 框 
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提示 : 确保 健康 策略 配置 了 正确 的 SHV, 以 及 影响 健康 要 求 的 条 件 , 还 可 以 对 健康 策 
略 中 的 每 个 条 件 进行 选择 。 
(3) 配置 完成 后 , 单 击 “确定 ”按钮 ,保存 设置 即 可 。 


11.3.4 使 用 组 策略 配置 NAP 客户 端 


默认 情况 下 , Windows 系统 中 的 NAP 客户 端 并 未 启用 ,用 户 可 以 根据 需要 启用 相关 的 
强制 客户 端 类 型 。 如 果 是 独立 计算 机 , 则 可 以 在 客户 端 计算 机 上 分 别 配置 ; 在 域 网 络 中 , 建 
议 使 用 组 策略 统一 部 署 NAP 客户 端 ,主要 包括 以 下 任务 。 

QO@ 配置 NAP 客户 端 设置 。 

@ 启用 Windows 安全 中 心 。 

@ 配置 网 络 访问 保护 代理 服务 的 自动 启用 。 

1. NAP 客户 端的 设置 

(1) 在 “组 策略 管理 器 ”管理 单元 中 ,依次 展开 “ 林 ”>“ 域 ”选项 。 在 “链接 的 组 策略 对 象 ” 
面板 中 , 右 击 组 策略 对 象 (默认 对 象 是 Default Domain Policy) ,在 快捷 菜单 中 选择 “编辑 ”选项 ， 
打开 “组 策略 管理 编辑 器 "窗口 。 依 次 展开 “计算 机 配置 ">“ 策 略 ”>“Windows 设置 ”>“ 安 全 
设置 ">“ 网 络 访问 保护 ”>“NAP 客户 端 配 置 ”>“ 强 制 客户 端 "选项 ,如 图 11-45 所 示 。 

(2) 在 右 侧 主 窗口 中 ,双击 “IPSec 信赖 方 ”强制 客户 端 ,显示 如 图 11-46 所 示 的 “IPSec 
信赖 方 个 属性 ”对 话 框 ,选中 “启用 此 强制 客户 端 " 复 选 框 。 
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图 11-45 展开 “强制 客户 端 ” 图 11-46 “IPSec 信赖 方 个 属性 ”对 话 框 


(3) 单 击 “ 确 定 ” 按 钮 ,保存 设置 。 

(4) 如 果 使 用 受信 任 的 服务 器 组 作为 NAP 客户 端 查找 HRA 的 方法 , 则 可 在 控制 台中 
展开 “健康 注册 设置 ”, 如 图 11-47 所 示 。 

(5) 添加 受信 任 服务 器 组 。 右 击 “* 受 信任 服务 器 组 ,在 快捷 菜单 中 选择 “新 建 ? 选 项 , 显 
示 如 图 11-48 所 示 的 “组 名 ”对 话 框 。 在 “组 名 ”文本 框 中 输入 组 名 称 。 

(6) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 11-49 所 示 的 “添加 服务 器 ”对 话 框 。 根 据 需 要 在 “ 添 
加 您 希望 客户 端 信任 的 健康 注册 机 构 的 URL” 文 本 框 中 ,输入 为 应 用 组 策略 对 象 的 NAP 客 
户 端 所 使 用 的 HRA 添加 URL。 
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图 11-47 展开 “健康 注册 设置 ” 
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a 为 使 用 SSL 的 HTTP 认证 健康 证 书 ,URL 必须 采用 以 下 形式 : 

https://HRA_FQDN/domainhra/hcsrvext. dll 

其 中 HRA_FQDN 为 HRA 计算 机 的 FQDN。 

@ 为 认证 使 用 HTTP 的 健康 证 书 ,URL 必须 采用 以 下 形式 : 

http://HRA_FQDN/domainhra/hcsrvext. dll 

@ 为 认证 使 用 通过 SSL 的 HTTP 的 匿名 健康 证 书 .URL 必须 采用 以 下 形式 : 

https://HRA_FQDN/nondomainhra/hcsrvext. dll 

@ 为 认证 使 用 HTTP 的 匿名 健康 证 书 ,URL 必须 采用 以 下 形式 : 

http://HRA_FQDNVnondomainhra/hcsrvext. dll 

如 果 想 要 所 有 URL 都 基于 SSL, 则 需要 选中 * 要 求 对 此 组 中 的 所 有 服务 器 进行 服务 器 
验证 (https:)” 复 选 框 。 如 果 任 意 一 个 URL 不 是 基于 SSL 的 , 则 取消 选中 “要 求 对 此 组 中 
的 所 有 服务 器 进行 服务 器 验证 (https:)" 复 选 框 ,图 11-50 所 示 为 当 所 有 URL 都 是 基于 


SSL 的 实例 。 验 证 列表 中 的 所 有 URL 是 否 按 照 正确 的 顺序 ,如 果 需 调整 , 则 可 以 单 击 * 上 
移 ”“ 下 移 ” 按 钮 来 实现 。 
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(7) 单 击 “下 一 步 ?按钮 ,显示 如 图 11-51 所 示 的 “正在 完成 新 建 受 信任 的 服务 器 组 向 


导 ” 对 话 框 。 
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图 11-50 配置 基于 SSL 的 URL 的 实例 


图 11-51 


对 话 框 


(8) 单 击 “ 完 成 ”按钮 ,完成 添加 受信 任 服务 器 组 的 操作 。 


2. 启用 Windows 安全 中 心 


“正在 完成 新 建 受 信任 的 服务 器 组 向 导 ” 


(1) 在 “组 策略 管理 "管理 单元 中 ,依次 展开 “计算 机 配置 "一 “策略 ”一 “管理 模板 ”一 


“Windows 组 件 ” 一 


(2) 双击 “启用 安全 中 心 ( 仅 限 域 PC)”, 显 
PC) 属 性 ”对 话 框 ,选中 “已 启用 ” 单 选 按钮 ,用 户 还 可 以 根据 需要 在 “注释 ”选项 卡 中 输入 相 


关 描 述 信息 。 


人 
全 中 心 ”控制 画板 的 ; 
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和 人 
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SRA ws: 


“安全 中 心 ” 选 项 ,如 图 11-52 所 示 。 
显示 如 图 11-53 所 示 的 “启用 安全 中 心 ( 仅 限 域 
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11-52 “安全 中 心 ”窗口 


(3) 单 击 “ 确 定 ” 按 钮 ,保存 设置 即 可 。 


3. 配置 网 络 访问 保护 代理 服务 的 自动 启用 
(1) 在 “组 策略 管理 "管理 单元 中 ,依次 展开 “计算 机 配置 ”一 


“安全 设置 ”>“ 


图 11-53 


“策略 ”> 
系统 服务 ”选项 。 在 详细 面板 中 ,双击 Network Access Protection Agent, 显 


“启用 安全 中 心 ( 仅 限 域 PC) 
属性 ”对 话 框 


“Windows 设置 "一 
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示 如 图 11-54 所 示 的 “Network Access Protection Agent 属性 ”对 话 框 。 选 中 “定义 这 个 策 
略 设置 ” 复 选 框 ,并 选中 * 自动" 单 选 按钮 。 

(2) 单 击 “编辑 安全 设置 按钮 ,显示 如 图 11-55 所 示 的 “安全 设置 Network Access 
Protection Agent" 对 话 框 ,确保 客户 端 计 算 机 账户 对 该 服务 拥有 足够 的 控制 权限 。 
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图 11-54 “Network Access Protection Agent 属性 ”对 话 框 图 11-55 “安全 设置 Network Access 
Protection Agent” 对 话 框 

(3) 连续 单 击 “确定 ?按钮 ,保存 设置 。 

提示 : 当 使 用 组 策略 设置 NAP 客户 端 时 ,为 了 使 用 DNS SRV 记录 来 配置 NAP 客户 
端 发 现 HRA, 需 要 进行 以 下 操作 。 

Q@ 从 NAP 客 户 端 组 策略 设置 中 删除 所 有 已 有 受信 任 服务 器 组 的 配置 。 如 果 这 些 设置 
存在 ,NAP 客户 端 将 不 会 使 用 DNS SRV 记录 来 尝试 发 现 HRA。 

@ 在 NAP 客户 端 计算 机 上 ,创建 和 设置 HKLM\SOFTWARE\Policies\Microsoft\ 
NetworkAccessProtection\ClientConfig\Enroll\ HesGroups\EnableDiscovery 的 值 为 1。 


11.3.5 配置 和 应 用 IPSec 策略 


在 验证 了 NAP 客户 端 收 到 短期 的 健康 证 书 和 更 新 服务 器 收 到 长 期 的 健康 证 书后 , 即 
可 开始 配置 和 应 用 IPSec 策略 到 边界 和 安全 网 络 中 的 计算 机 上 。 这 需要 执行 以 下 步骤 。 

J@ 为 边界 网 络 配置 和 应 用 IPSec 策略 设置 。 

@ 测试 清空 文本 和 与 边界 网 络 计算 机 的 受 保护 的 通信 。 

@ 为 安全 网 络 中 的 部 分 计算 机 配置 和 应 用 IPSec 策略 设置 。 

@ 测试 清空 文本 和 与 安全 网 络 计算 机 的 受 保护 的 通信 。 

@ 为 延期 强制 模式 的 不 符合 的 NAP 客户 端 配置 网 络 策略 。 

为 安全 网 络 中 所 有 的 计算 机 配置 和 应 用 IPSec 策略 。 

@ 为 强制 模式 下 的 不 符合 的 NAP 客户 端 配置 网 络 策略 。 

1. 为 边界 网 络 配置 和 应 用 IPSee 策略 设置 

在 这 里 需要 创建 包含 IPSec 策略 设置 的 GPO, 请 求 为 边界 网 络 计 算 机 的 入 站 和 出 站 通 
信和 进行 IPSec 保护 。 

(1) 在 Windows Server 2008 域 控制 器 上 ,打开 指定 GPO 的 “组 策略 管理 编辑 器 ” 窗 
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口 , 依 次 展开 “计算 机 配置 "一 “策略 ”一 “Windows 设置 "一 “安全 设置 "一 “高 级 安全 
Windows 防火 墙 ” 一 “高 级 安全 Windows 防火 墙 -LDAP” 选 项 ,如 图 11-56 所 示 。 

(2) 右 击 “高 级 安全 Windows 防火 墙 -LDAP”, 在 快捷 菜单 中 选择 “属性 ”选项 ,显示 如 
图 11-57 所 示 的 “高 级 安全 Windows 防火 墙 -LDAP 属性 ”对 话 框 。 打 开 “ 域 配置 文件 ”选项 
卡 , 在 “防火 墙 状态 "下拉 列表 框 中 选择 * 启 用 (推荐 ) ?选项 ,在 “和 人 站 连接 ”下 拉 列 表 框 中 选择 
“阻止 (默认 值 )" 选 项 ,在 “出 站 连接 ”下 拉 列 表 框 中 选择 “允许 (默认 值 )" 选 项 。 
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图 11-56 展开 “高 级 安全 Windows 防火 墙 -LDAP” 图 11-57 “高 级 安全 Windows 防火 墙 - 
LDAP 属性 ”对 话 框 

注意 ;“ 专 用 配置 文件 ”和 “公用 配置 文件 ”选项 卡 中 的 设置 ,与 “ 域 配置 文件 ”相同 ,此 处 
不 再 珊 述 。 

(3) 单 击 “ 确 定 ” 按 钮 ,保存 配置 。 

(4) 在 “高 级 安全 Windows 防火 墙 -LDAP” 中 , 右 击 “ 连 接 安全 规则 ”并 在 快捷 菜单 中 选 
择 “ 新 规则 ”选项 。 显示“ 规则 类 型 "对话 框 ,选中 “隔离 ” 单 选 按钮 。 单 击 “ 下 一 步 ” 按 钮 ,显示 
如 图 11-58 所 示 的 “要 求 ”对 话 框 ,选中 入 站 和 出 站 连接 请 求 身 份 验 证 ” 单 选 按 钮 。 
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11-58 “要 求 ” 对 话 框 


(5) 单 击 “下 一 步 "按钮 ,显示 如 图 11-59 所 示 的 “身份 验证 方法 ”对 话 框 。 选 中 “计算 机 
证 书 ” 单 选 按钮 ,然后 单 击 “ 浏 览 ” 按 钮 ,查看 并 选择 所 使 用 的 证 书 , 并 选中 “只 接受 健康 证 书 ” 
复 选 框 。 


图 11-59 “身份 验证 方法 ”对 话 框 


(6) 单 击 “ 下 一 步 ”按钮 ,显示 如 图 11-60 所 示 的 “配置 文件 ”对 话 框 。 选 中 “ 域 "“ 专 用 ” 
和 “公用 ” 复 选 框 。 


图 11-60 “配置 文件 "对话 框 


(7) 单 击 * 下 一 步 "按钮 ,显示 如 图 11-61 所 示 的 “名 称 ” 对 话 框 。 在 名称” 文本 框 中 , 输 
入 该 规则 的 名 称 。 在 “描述 ”文本 框 中 ,输入 该 规则 的 描述 信息 。 

(8) 单 击 “完成 ”按钮 ,完成 新 规则 的 配置 。 在 创建 完 边 界 网 络 GPO 后 ,需要 将 其 应 用 
于 边界 网 络 OU 或 安全 组 。 
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图 11-61 “名 称 ” 对 话 框 


2. 测试 与 边界 网 络 计算 机 的 通信 

在 应 用 边界 网 络 GPO 到 边界 网 络 安全 组 或 OU 后 ,需要 完成 以 下 工作 。 

(1) 确保 边界 网 络 中 的 更 新 服务 器 能 够 收 到 边界 网 络 GPO 设置 ,并 且 拥有 为 入 站 和 出 
站 通信 请 求 IPSec 保护 的 连接 安全 规则 。 

(2) 如 果 更 新 服务 器 可 以 收 到 边界 网 络 GPO 的 设置 ,确保 更 新 服务 器 可 以 建立 与 
NAP 客户 端 和 非 域 成 员 计算 机 的 通信 ,并 且 NAP 客户 端 和 非 域 成 员 计 算 机 可 以 建立 与 更 
新 服务 器 的 通信 。 

在 该 阶段 的 NAP 客户 端 , 非 域 成 员 计算 机 和 更 新 服务 器 之 间 的 通信 应 该 清除 文本 。 
更 新 服务 器 上 的 IPSec 策略 将 会 尝试 越过 IPSec 保护 ,但 是 允许 回 退 清除 入 站 和 出 站 通信 
尝试 。 

3. 为 安全 网 络 中 部 分 计算 机 配置 和 应 用 IPSec 策略 设置 

在 应 用 安全 网 络 GPO 到 所 有 域 成 员 计 算 机 之 前 ,用 户 应 该 在 部 分 域 成 员 计 算 机 上 测 
试 安 全 网 络 GPO ,并且 记录 通信 动作 ,可 以 使 用 以 下 方式 实现 。 

(1) 包含 测试 计算 机 的 安全 测试 网 络 OU。 在 这 种 情况 下 ,用 户 可 以 直接 应 用 安全 网 
络 GPO 到 安全 测试 网 络 OU 上 ,而 不 会 影响 到 其 他 计算 机 。 

(2) 包含 测试 计算 机 的 安全 测试 网 络 安 全 组 。 在 该 情况 下 ,用 户 必须 为 安全 测试 网 络 
安全 组 筛选 GPO 的 作用 域 ,应 用 安全 网 络 GPO 到 安全 网 络 OU 上 。 因 为 作用 域 的 第 选 ， 
安全 网 络 GPO 将 只 会 应 用 于 安全 测试 网 络 安全 组 的 成 员 上 。 

这 里 创建 包括 IPSec 策略 设置 的 GPO, 为 安全 网 络 计 算 机 的 入 站 和 出 站 通信 尝试 提供 
IPSec 保护 。 

(1) 在 安装 了 组 策略 管理 器 的 Windows Server 2008 计算 机 上 ,打开 MMC 管理 控制 
台 , 依 次 选择 “开始 ”>“ 添 加 /删除 管理 单元 ”选项 ,显示 “添加 或 删除 管理 单元 ”对 话 框 。 在 
“可 用 的 管理 单元 ”列表 中 ,选择 “组 策略 管理 编辑 器 ”选项 。 

(2) 单 击 “ 添 加 ”按钮 ,显示 “选择 组 策略 对 象 ”对 话 框 。 单 击 “ 浏 览 ” 按 钮 ,查看 并 选择 所 
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要 编辑 的 组 策略 ,如 图 11-62 所 示 。 单 击 “ 创 建新 的 组 策略 对 象 ” 按 钮 ,输入 安全 网 络 的 新 的 
组 策略 对 象 的 名 称 。 

(3) 单 击 “确定 ”按钮 ,返回 “选择 组 策略 对 象 ” 
对 话 框 。 单 击 “完成 ”按钮 ,返回 “添加 或 删除 管理 单 
元 ”对 话 框 。 再 次 单 击 “确定 ”按钮 ,完成 管理 单元 的 
添加 。 

(4) 在 控制 台中 ,展开 “计算 机 配置 ">" 策略” 一 
“Windows 设置 "一 “安全 设置 "一 “高 级 安全 
Windows 防火 墙 * 一 “高 级 安全 Windows 防火 墙 - 
LDAP” 选 项 。 右 击 “ 高 级 安全 Windows 防火 墙 - ee 
LDAP”, 在 快捷 菜单 中 选择 “属性 ”选项 。 打 开 “ 高 。 图 11-62 “浏览 组 策略 对 象 "对 话 框 
级 安全 Windows 防火 墙 -LDAP” 对 话 框 ,在 “ 域 配置 
文件 ”选项 卡 中 的 “防火 墙 状 态 ” 下 拉 列 表 框 中 选择 “启用 (推荐 )” 选 项 ,在 “入 站 连接 ”下 拉 列 
表 框 中 选择 “阻止 (默认 值 )" 选 项 ,在 “出 站 连接 ”下 拉 列 表 框 中 选择 “允许 (默认 值 )" 选 项 。 

(5) 切换 到 “ 专 有 配置 文件 ”选项 卡 , 在 “防火 墙 状 态 ” 下 拉 列 表 框 中 选择 “启用 (推荐 )” 
选项 ,在 “人 站 连接 "下拉 列表 框 中 选择 “阻止 (默认 值 )" 选 项 ,在 “出 站 连接 "下拉 列 表 框 中 选 
择 “ 允 许 ( 默 认 值 )" 选 项 。 

(6) 切换 到 “公用 配置 文件 ”选项 卡 , 在 “防火 墙 状 态 ” 下 拉 列 表 框 中 选择 “启用 (推荐 )” 
选项 ,在 “人 站 连接 "下拉 列 表 框 中 选择 “阻止 (默认 值 )" 选 项 ,在 “出 站 连接 "下拉 列表 框 中 选 
择 “ 允 许 ( 默 认 值 )” 选 项 。 

(7) 单 击 “确定 "按钮 ,保存 设置 。 

(8) 在 “高 级 安全 Windows 防火 墙 -LDAP” 中 , 右 击 “连接 安全 规则 ”, 在 快捷 菜单 中 选 
择 “ 新 规则 ”选项 ,打开 “规则 类 型 "对 话 框 ,选中 “隔离 ” 单 选 按 钮 。 

(9) 单 击 “下 一 步 ? 按 钮 ,显示 如 图 11-63 所 示 的 要求” 对话 框 ,选中 “入 站 连接 要 求 身 
份 验证 ,出 站 连接 请 求 身份 验证 ” 单 选 按钮 。 
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图 11-63 “要 求 ”对话 框 
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(10) 单 击 “ 下 一 步 ” 按 钮 ,打开 “身份 验证 方法 ”对 话 框 ,选中 “计算 机 证 书 ” 单 选 按钮 ,并 
选中 “只 接受 健康 证 书 ” 复 选 框 ,然后 单 击 “ 浏 览 ” 按 钮 ,查看 并 选择 证 书 。 

(11) 单 击 “ 下 一 步 ”按钮 ,打开 “配置 文件 ”对 话 框 ,同时 选中 “ 域 "“ 专 用 ”和 “公用 ” 复 
选 框 。 

(12) 单 击 “ 下 一 步 ” 按 钮 ,显示 “名 称 ” 对 话 框 。 在 “名 称 ” 文 本 框 中 ,输入 该 规则 的 名 称 。 
在 “描述 "文本 框 中 ,输入 该 规则 的 描述 信息 。 

对 于 运行 Windows XP SP3 的 NAP 客户 端 ,必须 使 用 “组 策略 编辑 器 "管理 单元 和 活 
动 目录 中 的 “IP 安全 策略 ”的 “计算 机 配置 \ 策 略 \Windows 设置 \ 安 全 设置 "来 配置 和 启用 同 
等 的 IPSec 策略 。 另 外 ,还 必须 设置 HKLM\SYSTEM\CurrentControlSet\ Services\ 
PolicyAgent\Oakley\IKEFlags 的 注册 表 值 为 0xlc。 

4. 测试 清除 文本 和 与 安全 网 络 部 分 计算 机 的 受 保护 的 通信 

在 配置 完 安全 网 络 GPO, 并 将 其 应 用 到 安全 测试 网 络 OU 或 安全 组 后 ,还 必须 测试 以 
下 类 型 的 通信 。 

(1) 确保 安全 网 络 中 的 计算 机 能 够 收 到 安全 网 络 GPO 设置 ,并 且 拥 有 为 入 站 要 求 
IPSec 保护 和 出 站 请 求 IPSec 保护 的 连接 安全 规则 。 例 如 ,可 以 使 用 安全 网 络 计算 机 上 的 
“高 级 安全 Windows 防火 墙 ”管理 单元 中 的 “监视 器 ”节点 。 

(2) 如 果 安 全 网 络 的 计算 机 可 以 收 到 安全 网 络 GPO 的 设置 , 需 确保 以 下 通信 动作 。 

Q@ 阻止 从 非 安 全 测试 网 络 的 计算 机 到 安全 测试 网 络 计 算 机 的 通信 。 

@ 保护 从 安全 测试 网 络 中 的 计算 机 到 另 一 个 安全 测试 网 络 计 算 机 的 通信 。 

@ 允许 从 安全 测试 网 络 计算 机 到 非 安全 测试 网 络 计算 机 的 通信 ,但 是 不 被 保护 。 

该 阶段 的 安全 测试 网 络 计算 机 到 所 有 非 安全 测试 网 络 的 计算 机 通信 应 该 被 清除 文本 。 
安全 测试 网 络 计算 机 的 IPSec 策略 将 会 尝试 越过 IPSec 保护 ,但 是 会 允许 回 退 清除 入 站 和 
出 站 通信 尝试 。 

5. 为 延期 强制 下 的 不 符合 的 NAP 客户 端 配置 网 络 策略 

在 测试 完 边界 和 安全 测试 网 络 的 通信 后 ,为 延期 强制 模式 确定 日 期 。 在 该 时 间 段 内 ,不 
符合 的 NAP 客户 端 不 会 收 到 健康 证 书 ,不 能 建立 与 之 符合 的 NAP 客户 端的 通信 。 在 延期 
强制 模式 下 ,不 符合 的 NAP 客户 端 仍 会 收 到 健康 证 书 , 但 是 用 户 会 收 到 一 条 信息 ,指示 计 
算 机 不 能 按照 系统 健康 要 求 进行 动作 。 

(1) 在 “网 络 策略 服务 器 ”管理 单元 中 ,依次 展开 “策略 ”>“ 网 络 策略 ”选项 。 

(2) 在 右 侧 栏 中 ,双击 NAP 向 导 创 建 的 不 符合 的 NAP 客户 端的 网 络 策略 ,打开 “策略 
属性 ”对 话 框 。 切 换 到 “设置 ”选项 卡 , 然 后 选择 “NAP 强制 ?选项 ,如 图 11-64 所 示 。 在 右 侧 
栏 中 ,选中 “允许 在 有 限时 间 内 对 网 络 执行 完全 访问 " 单 选 按钮 ,指定 NAP 健康 策略 服务 器 
上 配置 的 强制 模式 的 日 期 和 时 间 。 

(3) 单 击 “确定 ”按钮 ,保存 设置 即 可 。 网 络 中 每 个 NAP 健康 策略 服务 器 ,都 需要 执行 
这 些 操作 。 

6. 为 安全 网 络 中 所 有 计算 机 配置 IPSec 策略 设置 

在 测试 和 验证 完 安全 测试 网 络 中 的 入 站 和 出 站 通信 后 , 即 可 应 用 安全 网 络 GPO 到 安 
全 网 络 所 有 计算 机 上 。 为 了 应 用 安全 网 络 GPO 到 包含 所 有 域 成 员 NAP 客户 端的 安全 网 
络 OU 或 组 ,并 且 保 证 安全 测试 网 络 OU 或 组 中 的 计算 机 得 到 适当 的 移植 ,具体 可 通过 以 下 
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AP 县 有 MEA 的 IPsec 不 符合 医 性 
概述 | 条 件 | 约 素 设 轩 | 


ee 且 读 第 跟 摄 予 访问 权限 ， 风 应 用 这 些 设置 。 


设置 @G) 
IF 指定 是 否 要 对 此 证 呈 强制 庆 计 53 络 访问 保护 < 
有 
因 Ab 
Bi 
扩展 的 居 态 加 间 之 后 ， 
i OR 
多 本 路 和 胡 训 分 可 协议 
哎 Or) 日 期 中 ps 2121 了 时 间 中 ) 0:27:03 翌 
Tr 允许 要 限 访问 四 ) 
BE 不 荫 全 标 创 深 户 六/ 许 访问 昌 阳 网 络 以 进行 更 新 。 
晴 卫 设置 重新 服务 关 组 重负 秆 WEL 
范 要 配置 更 新 服务 各 组 、 四 兴 和 和 WEL 或 二 扫 轩 二 者 ， 请 单 击 “配置 ”。 
L000 
二 新 
捷 启用 守 户 尖 计 其 机 A 自动 于 新 功能 QD 
自动 更 新 不 贡 足 此 第 罗 所 定义 的 能 康 要 求 的 计 革 机 。 


图 11-64 “设置 "选项 卡 


方法 实现 。 


(1) 如 果 使 用 安全 测试 网 络 OU 和 包括 所 有 域 成 员 NAP 客户 端的 安全 网 络 OU, 则 需 
要 应 用 安全 网 络 GPO 到 安全 网 络 OU ,并且 将 安全 测试 网 络 OU 中 的 计算 机 移植 到 安全 网 
络 OU 中 。 

(2) 如 果 使 用 安全 测试 网 络 OU 和 包含 所 有 域 成 员 NAP 客户 端的 安全 网 络 安全 组 , 则 
需 应 用 安全 网 络 GPO 到 安全 网 络 OU 中 ,并 且 确 保安 全 测试 网 络 OU 中 的 计算 机 是 安全 
网 络 OU 中 的 成 员 。 

(3) 如 果 使 用 安全 测试 网 络 安全 组 和 包含 所 有 域 成 员 NAP 客户 端的 安全 网 络 OU, 则 

需 应 用 安全 网 络 GPO 到 安全 网 络 OU 中 .并 且 确 保安 全 测试 网 络 安全 组 中 的 计算 机 是 安 
全 网 络 OU 的 成 员 。 

(4) 如 果 使 用 安全 测试 网 络 安全 组 和 包含 所 有 域 成 员 NAP 客户 端的 安全 网 络 安全 组 ， 

则 应 更 改 安全 网 络 GPO 的 作用 域 筛选 ,保证 其 应 用 于 安全 网 络 安全 组 中 ,并 且 确 保安 全 测 
试 网 络 安全 组 中 的 计算 机 是 安全 网 络 安全 组 的 成 员 。 

7. 为 强制 模式 下 的 不 符合 的 NAP 客户 端 配置 网 络 策略 

在 强制 模式 的 日 期 中 ,配置 NAP 健康 策略 服务 器 的 强制 模式 的 具体 操作 步骤 如 下 。 
(1) 在 “网 络 策略 服务 器 "管理 单元 中 ,依次 展开 “策略 ”>“ 网 络 策略 ”选项 。 

(2) 在 右 侧 栏 中 ,双击 不 符合 的 NAP 客户 端的 网 络 策略 ,打开 “策略 属性 ”对 话 框 。 切 

换 到 “设置 ”选项 卡 , 然 后 选择 “NAP 强制 ”。 并 选中 “允许 在 有 限时 间 内 对 网 络 执行 完全 访 
问 ” 单 选 按钮 。 

(3) 单 击 “ 确 定 ” 按 钮 .保存 设置 即 可 。 
至 此 ,IPSec 强制 的 配置 已 经 完成 ,不 符合 的 NAP 客户 端 将 不 会 收 到 健康 证 书 ,并 且 安 

全 网 络 中 的 计算 机 对 入 站 连接 请 求 要 求 IPSec 保护 和 健康 证 书 。 
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11.4 配置 802. 1x 强制 


通过 802. 1x 强制 ,可 以 确保 未 经 许可 的 网 络 设备 或 移动 客户 端 接 人 企业 网 络 。 配 置 
802. 1x 强制 包括 配置 活动 目录 配置 基于 PEAP 的 身份 验证 方式 .配置 802. 1x 访问 点 、 配 
置 受 限 网 络 的 更 新 服务 器 .配置 NAP 健康 策略 服务 器 和 配置 NAP 客户 端 等 内 容 。 


11.4.1 配置 基于 PEAP 的 身份 验证 方式 


如 果 没 有 为 802. 1x 身份 验证 的 无 线 或 有 线 访 问 使 用 基于 PEAP 的 身份 验证 方式 , 那 
么 用 户 必 须 重 新 配置 访问 客户 端 和 NPS 服务 器 上 的 访问 策略 。 在 Windows Server 2008 
和 Windows Vista 中 ,支持 以 下 有 线 身份 验证 的 EAP 身份 验证 方法 : 

© EAP-TLS 

@ PEAP-MS-CHAP v2 

@ PEAP-TLS 

EAP-TLS 和 PEAP-TLS 可 以 与 PKI 和 计算 机 证 书 、 用 户 证 书 和 智能 卡 联合 使 用 。 使 
用 EAP-TLS, 有 线 客户 端 为 身份 验证 发 送 自己 的 计算 机 证 书 、 用 户 证 书 或 智能 卡 。 

1. 身份 验证 方法 的 需求 

有 线 身份 验证 方法 的 需求 如 下 。 

(1) EAP-TLS 需要 在 每 台 RADIUS 服务 器 上 安装 计算 机 证 书 ,在 所 有 有 线 客户 端 上 
安装 计算 机 证 书 、 用 户 证 书 或 智能 卡 。 为 了 验证 RADIUS 服务 器 上 的 计算 机 证 书 ， 
RADIUS 服务 器 计算 机 证 书 发 布 CA 的 根 CA 证 书 必 须 安装 在 所 有 有 线 客户 端 计算 机 上 。 
为 了 验证 有 线 客 户 端 的 计算 机 证 书 、 用 户 证 书 或 智能 卡 , 有 线 客户 端 证 书 的 发 布 CA 的 根 
CA 证 书 必须 安装 在 每 台 RADIUS 服务 器 上 。 

(2) PEAP-MS-CHAP v2 需要 在 每 台 RADIUS 服务 器 上 安装 计算 机 证 书 , 并 且 为 了 验 
证 RADIUS 服务 器 上 的 计算 机 证 书 ,RADIUS 服务 器 计算 机 证 书 发 布 CA 的 根 CA 证 书 必 
须 安装 在 所 有 有 线 客户 端 计算 机 上 。 

在 没有 计算 机 证 书 、 用 户 证 书 或 智能 卡 的 情况 下 ,可 以 使 用 PEAP-MS-CHAP v2。 
PEAP-MS-CHAP v2 是 一 种 基于 密码 的 身份 验证 方法 ,使 用 加 密 的 TLS 会 话 交换 身份 验 
证 消息 。 加 密 TLS 会 话 的 使 用 使 得 恶意 用 户 很 难 从 捕获 的 身份 验证 消息 中 获取 密码 。 因 
为 EAP-TLS 和 PEAP-TLS 不 依赖 于 密码 ,所 以 它们 比 PEAP-MS-CHAP v2 要 安全 得 多 。 

2. 有 线 网 络 (IEEE 802. 3) 策 略 组 策略 扩展 

为 了 Windows 有 线 客户 端 计 算 机 自动 配置 有 线 网 络 设置 , Windows Server 2008 或 
Windows Server 2003 活动 目录 域 支持 有 线 网 络 (IEEE 802. 3) 策 略 组 策略 扩展 。 该 扩展 允 
许 将 有 线 网 络 设置 ,作为 基于 域 的 组 策略 对 象 的 计算 机 配置 组 策略 的 一 部 分 进行 配置 。 通 
过 使 用 有 线 网 络 (IEEE 802. 3) 策 略 组 策略 扩展 ,可 以 在 Windows Server 2008 或 Windows 
Vista 有 线 客 户 端 上 ,指定 EAP 身份 验证 方法 和 其 他 设置 。 

(1) 打开 相应 策略 的 “组 策略 对 象 编辑 器 "窗口 ,依次 展开 “计算 机 配置 "一 “策略 ”一 
“Windows 设置 ”>“ 安 全 设置 ">“ 有 线 网 络 (IEEE 802. 3) 策 略 ?选项 。 默 认 情 况 下 .没有 任何 
有 线 网 络 (IEEE 802. 3) 策 略 , 根 据 需要 可 以 创建 一 个 新 的 策略 , 右 击 “ 有 线 网 络 (IEEE 802. 3) 
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策略 ”, 在 快捷 菜单 中 选择 “创建 一 个 新 的 Windows Vista 
策略 ”选项 ,显示 如 图 11-65 所 示 的 “新 Vista 有 线 网 络 策 
略 Properties” 对 话 框 。 

(2) 在 “常规 ”选项 卡 中 ,配置 策略 的 名 称 和 描述 ,指定 
是 否 启用 有 线 自动 配置 服务 。 切 换 到 如 图 11-66 所 示 的 
“安全 ”选项 卡 中 ,选中 “为 网 络 访问 启用 IEEE 802. 1x 身份 
验证 ” 复 选 框 ,启用 802. 1x 身份 验证 。 根 据 需 要 在 “选择 
网 络 身份 验证 方法 "下拉 列 表 框 中 ,选择 所 需 的 身份 验证 


方法 。 [一 7 

(3) 单 击 “ 高 级 "按钮 ,显示 如 图 11-67 所 示 的 “高 级 el ee ee 
安全 设置 "对 话 框 ,根据 需要 ,可 以 配置 802. 1x 和 单一 登 图 11-65 “新 Vista 有 线 网 络 策略 
录 的 高 级 设置 。 具 体 各 选项 含义 如 下 。 Piopeiies 对 请 杠 


QO@ 最 大 Eapol 启动 消息 数 : 当 发 出 的 最 初 EAPOL-Start 消息 没有 回应 时 ,连续 发 送 的 
EAPOL-Start 消息 的 数目 。 

@ 保持 时 间 : 当 最 初 EAPOL-Start 消息 没有 回应 时 , 重 发 的 EAPOL-Start 消息 之 间 
的 间隔 时 间 。 

@ 启动 时 间 : 这 段 时 间 内 认证 客户 端 将 不 执行 任何 802. 1x 身份 验证 活动 。 

@ 验证 时 间 : 认证 客户 端 在 重 发 802. 1x 请 求 之 前 等 待 的 时 间 。 

(4) 配置 完成 后 , 单 击 “ 确 定 ” 按 钮 ,保存 设置 。 


身份 只 证 恒 式 (4) 
[7 | 
最 甸 身 从 证 闪 台 次 粕 和 。” 习 
反 提存 用 户 信息 以 全 于 后 连接 到 起 FE) 
高 
CRED | anw 
图 11-66 “安全 ”选项 卡 图 11-67 “高 级 安全 设置 ”对话 框 


11.4.2 配置 802.1x 访问 点 


为 了 在 802. 1x 强制 中 使 用 ACL, 需 要 完成 以 下 工作 。 

(1) 使 用 ACL 配置 802. 1x 访问 点 ,限制 不 符合 的 NAP 客户 端的 访问 。ACL 必须 包 
含 符合 内 网 更 新 服务 器 通信 的 数据 包 筛 选 列表 。 

(2) 确定 通过 802. 1x 访问 点 的 RADIUS 属性 识别 受 限 网 络 访问 的 ACL, 某 些 802. 1x 
访问 使 用 标准 的 RADIUS 属性 筛选 ID 。 

为 了 在 802. 1x 强制 中 使 用 VLAN ,需要 完成 以 下 工作 。 
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(1) 如 果 使 用 VLAN 访问 内 网 ,那么 VLAN 就 变 为 符合 的 NAP 客户 端的 VLAN。 在 
这 种 情况 下 ,只 需要 为 不 符合 的 NAP 客户 端 ,创建 一 个 新 的 VLAN 即 可 。 

(2) 确定 通过 802. 1x 访问 点 的 RADIUS 属性 指出 受 限 网 络 VLAN, 某 些 802. 1x 访问 
点 使 用 如 下 RADIUS 或 指定 供应 商 属 性 : Tunnel-Medium-Type、Tunnel-Pvt-Group-ID、 
Tunnel-Type 和 Tunnel-Tag。 


11.4.3 配置 NAP 健康 策略 服务 器 


802. 1x 强制 的 NAP 健康 策略 服务 器 ,与 802. 1x 身份 验证 所 使 用 的 基于 NPS 的 
RADIUS 服务 器 相同 。 关 于 配置 NAP 健康 策略 服务 器 ,必须 按照 以 下 步骤 修改 现 有 NPS 
服务 器 的 配置 。 

Q@ 安装 SHV。 

@ 配置 RADIUS 服务 器 设置 。 

@ 为 802. 1x 强制 配置 健康 要 求 策略 。 

1. 配置 RADIUS 服务 器 设置 

由 于 NAP 健康 策略 服务 器 已 经 配置 了 802. 1x 身份 验证 ,所 以 不 需要 对 RADIUS 服务 
器 的 通常 配置 进行 更 改 , 如 RADIUS 客户 端 或 UDP 端口 。 但 因为 802. 1x 强制 配置 开始 时 
会 使 用 报告 模式 ,不 符合 的 NAP 客户 端 拥有 不 受 限 访问 ,所 以 可 能 想 要 在 启用 强制 模式 前 
使 NAP 健康 策略 服务 器 记录 入 站 请 求 以 便于 分 析 。 

2. 为 无 线 或 有 线 连接 的 802. 1x 强制 创建 策略 

(1) 登录 NPS 服务 器 ,在 “网 络 策略 服务 器 ”窗口 中 启动 “配置 NAP” 向 导 。 在 如 
图 11-68 所 示 的 “选择 与 NAP 一 起 使 用 的 网 络 连接 方法 ”对话 框 中 ,在 “网 络 连接 方法 ”下拉 
列表 框 中 ,选择 “IEEE 802. 1x( 无 线 )? 或 者 “IEEE 802. 1x( 有 线 )” 选 项 ,然后 在 “策略 名 称 ” 
文本 框 中 ,输入 策略 名 称 。 

(2) 在 如 图 11-69 所 示 的 “配置 身份 验证 方法 ”对 话 框 中 ,为 PEAP 身份 验证 选择 NPS 
所 使 用 的 计算 机 证 书 ,然后 根据 需要 选中 “安全 密码 (PEAP-MS-CHAP v2)” 或 者 “智能 卡 或 
其 他 证 书 (EAP-TLS)” 复 选 框 即 可 。 
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11-68 “选择 与 NAP 一 起 使 用 的 网 络 
连接 方法 ”对 话 框 


图 11-69 “配置 身份 验证 方法 ”对 话 框 
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(3) 在 如 图 11-70 所 示 的 “配置 虚拟 LAN(VLAN)” 对 话 框 中 ,如 果 RADIUS 客户 端 支 
持 VLAN, 则 可 以 配置 NPS 以 向 RADIUS 客户 端 提供 包含 更 新 服务 器 的 受 限 网 络 , 以 及 提 
供 完全 网 络 访问 权限 的 组 织 网 络 的 VLAN 信息 。 
(4) 在 “配置 虚拟 LAN(VLAN)” 对 话 框 的 “组 织 网 络 VLAN” 中 , 单 击 “配置 ”按钮 , 显 
示 如 图 11-71 所 示 的 “虚拟 LAN(VLAN) 配 置 " 对 话 框 ,在 “RADIUS 标准 属性 ”和 “供应 商 
特定 属性 ”选项 卡 中 ,配置 802. 1x 访问 点 所 需 的 属性 ,为 符合 的 NAP 客户 端的 内 网 访问 指 
定 ACL 或 VLAN ID。 设 置 完成 后 , 单 击 “ 确 定 ” 按 钮 ,保存 配置 即 可 。 


加 
re | 


5 EN 


nan Yu 信息 ， 请 间 击 * 卫 加" | 

[RS]| 

a 吾 本 人 | 
| = 
上 - 步 中 | FSO | 50 | NW 


图 11-70 “配置 虚拟 LAN(VLAN)” 对 话 框 图 11-71 “虚拟 LAN(VLAN) 配 置 ” 对 话 框 


(5) 在 “配置 虚拟 LAN(VLAN)"” 对 话 框 的 “ 受 限 网 络 VLAN” 中 , 单 击 “ 配 置 ” 按 钮 , 即 
可 配置 “ 受 限 网 络 VLAN” 的 相关 选项 ,方法 与 配置 “组 织 网 络 VLAN” 选 项 相同 ,此 处 不 再 
比 述 。 

3. 配置 常规 网 络 策略 

(1) 打开 “网 络 策略 服务 器 ”窗口 ,依次 展开 “策略 ”>“ 网 络 策略 ”选项 。 在 右 侧 栏 中 , 双 
击 无 线 或 有 线 网 络 策略 ,显示 “NAP 802. 1x( 有 线 ) 符 合 属性 ”对 话 框 。 在 如 图 11-72 所 示 
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的 “概述 ”选项 卡 的 “网 络 连 接 方法 ”区 域 中 ,查看 是 否 设 置 了 “供应 商 特定 ”, 并 根据 实际 情况 
选择 是 否 设置 。 

(2) 切换 到 如 图 11-73 所 示 的 “条 件 ? 选 项 卡 ,查看 除了 NAS 端口 类 型 以 外 是 否 还 有 其 
他 条 件 , 并 根据 实际 需要 进行 设置 。 
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(3) 切换 到 如 图 11-74 所 示 的 “约束 ”选项 卡 ,查看 约束 列表 中 的 任何 设置 是 否 配置 了 
相应 值 ,并 根据 实际 需要 进行 设置 。 
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(4) 切换 到 如 图 11-75 所 示 的 “设置 ?选项 卡 ,查看 任意 其 他 RADIUS 标准 或 供应 商 指 
定 属性 是 否 配置 了 Framed-Protocol 和 Service-Type, 并 根据 实际 需要 进行 设置 。 

(5) 单 击 “ 确 定 ” 按 钮 ,保存 设置 即 可 。 

(6) 双击 “配置 NAP 向 导 ? 为 符合 的 NAP 客户 端 创建 无 线 或 有 线 网 络 策略 。 在 “ 概 
述 ”“ 条 件 ”“ 约 束 ” 和 “ 设 抱 ”选项 卡 中 .根据 步骤 (1) 一 (5) 确 定 的 网 络 策略 配置 现 有 无 线 或 
有 线 策略 的 设置 。 
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图 11-75 “设置 ?选项 卡 


(7) 双击 “配置 NAP 向 导 ” 为 不 符合 的 NAP 客户 端 创建 的 无 线 或 有 线 网 络 策略 。 在 
“概述 ”"“ 条 件 "“ 约 束 "” 和 * 设 置 ?选项 卡 中 ,根据 步骤 (1) 一 (5) 确 定 的 网 络 策略 配置 现 有 无 
线 或 有 线 策略 的 设置 。 

(8) 双击 “配置 NAP 向 导 ” 为 不 具有 NAP 功能 的 客户 端 创建 的 无 线 或 有 线 网 络 策略 。 
在 “概述 ”“ 条 件 ”“ 约 束 ” 和 “设置 ”选项 卡 中 ,根据 步 又 (2) 一 (5) 确 定 的 网 络 策略 配置 现 有 
无 线 或 有 线 策略 的 设置 。 

4. 配置 报告 模式 

(1) 打开 “网 络 策略 服务 器 ”窗口 ,依次 展开 “策略 ”>“ 网 络 策略 ”选项 。 在 右 侧 栏 中 , 双 
击 “ 配 置 NAP 向 导 ”, 创 建 不 符合 的 NAP 客户 端的 网 络 策略 。 

(2) 切换 到 “设置 ?选项 卡 ,然后 单 击 *NAP 强制 "设置 ,显示 如 图 11-76 所 示 的 “NAP 


802. 1x( 有 线 ) 不 符合 属性 ”对 话 框 。 在 网 络 策略 属性 对 话 框 的 详细 面板 中 ,选中 “允许 完全 
网 络 访问 " 单 选 按钮 。 
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图 11-76 NAP 强制 
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(3) 单 击 “确定 ”按钮 ,保存 设置 即 可 。 

5. 为 所 要 求 的 健康 设置 配置 健康 策略 条 件 

(1) 在 “网 络 策略 服务 器 ”管理 单元 中 ,依次 展开 “策略 ”一 “健康 策略 ”选项 。 

(2) 双击 符合 和 不 符合 的 NAP 客户 端的 健康 策略 ,根据 健康 评估 条 件 和 SHYV 的 需要 
进行 设置 。 

在 该 配置 中 ,创建 并 配置 了 NAP 健康 要 求 策略 ,但 是 NAP 健康 策略 服务 器 仍然 使 用 
已 有 的 无 线 或 有 线 连接 要 求 ,以 及 无 线 或 有 线 访 问 的 网 络 策略 。 因 此 ,必须 修改 连接 请 求 策 
略 的 配置 ,确保 802. 1x 强制 的 新 的 连接 请 求 策略 用 于 有 线 或 无 线 连 接 。 

6. 为 802. 1x 强制 修改 连接 请 求 策略 

“配置 NAP 向 导 ?” 创 建 的 无 线 或 有 线 连接 的 连接 请 求 策略 ,要求 使 用 基于 PEAP 的 身 
份 验证 方法 ,以 及 系统 健康 检查 。 不 使 用 基于 PEAP 的 身份 验证 方法 的 802. 1x 客户 端的 
连接 尝试 ,将 会 被 NAP 健康 策略 服务 器 拒绝 。 使 用 基于 PEAP 的 身份 验证 方法 的 ,但 是 不 
符合 健康 状态 要 求 的 NAP 客户 端 ,将 被 NAP 健康 策略 服务 器 定义 为 不 具有 NAP 功能 的 
客户 端 。 


11.4.4 配置 NAP 客 户 端 


尽管 可 以 单独 配置 NAP 客户 端 , 但 是 在 活动 目录 域 环境 下 集中 配置 NAP 客户 端的 最 
好 的 方法 就 是 通过 组 策略 设置 ,主要 包括 以 下 步骤 。 

QO@ 为 PEAP 启用 系统 健康 检查 。 

@ 配置 NAP 客户 端 设置 。 

@ 启用 Windows 安全 中 心 (参考 IPSec NAP 客户 端的 配置 ) 。 

@ 配置 网 络 访问 保护 代理 服务 的 自动 启用 (参考 IPSec NAP 客户 端的 配置 ) 。 

1. 为 PEAP 启用 系统 健康 检查 

尽管 已 经 配置 了 NAP 客户 端 使 用 PEAP 身份 验证 协议 ,但 是 如 果 PEAP 身份 验证 协 
议 不 启动 系统 健康 检查 ,NAP 客户 端 将 不 会 回应 系统 健康 状态 的 请 求 。 通 过 组 策略 扩展 ， 
可 以 为 有 线 和 无 线 网 络 启 用 PEAP 的 系统 健康 检查 。 

2. 在 组 策略 中 为 PEAP 启用 系统 健康 检查 

(1) 打开 “组 策略 管理 ”窗口 , 右 击 想 要 设置 的 策略 名 称 ,在 快捷 菜单 中 选择 “编辑 ” 选 
项 。 打 开 如 图 11-77 所 示 的 “组 策略 管理 编辑 器 ”窗口 ,依次 展开 “计算 机 配置 ”一 “策略 ”一 
“Windows 设置 ”>“ 安 全 设置 >“ 有线 网 络 (IEEE 802. 3) 策 略 ” 选 项 。 

(2) 双击 有 线 网 络 策略 ,显示 如 图 11-78 所 示 的 “新 Vista 有 线 网 络 策略 Properties” 对 
话 框 。 在 “策略 名 ”和 “描述 "文本 框 中 ,可 根据 需要 设置 策略 名 称 和 描述 信息 。 

(3) 切换 至 “安全 ”选项 卡 , 单 击 “ 属 性 ”按钮 ,显示 如 图 11-79 所 示 的 “ 受 保护 的 EAP 属 
性 ”对 话 框 ,选中 “启用 隔离 检查 ” 复 选 框 。 

(4) 连续 单 击 “ 确 定 ” 按 钮 ,返回 到 “组 策略 管理 编辑 器 "窗口 。 接 下 来 还 需要 配置 无 线 
连接 的 相关 策略 。 

(5) 在 控制 台中 ,依次 展开 “计算 机 配置 ”一 “策略 ”>“Windows 设置 ”>“ 安 全 设置 ”一 
“无 线 网 络 (IEEE 802. 11) 策 略 ” 选 项 。 双 击 创建 好 的 Vista 无 线 连接 策略 ,显示 如 
图 11-80 所 示 的 “Vista 无 线 网 络 策略 属性 ”对 话 框 。 
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图 11-77 展开 “有 线 网 络 (IEEE 802. 3) 策 略 ” 图 11-78 “新 Vista 有 线 网 络 策略 
Properties” 对 话 框 
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图 11-79 “ 受 保护 的 EAP 属性 ”对 话 框 11-80 “Vista 无 线 网 络 策略 属性 ”对 话 框 


(6) 双击 相应 的 无 线 配置 文件 ,显示 如 图 11-81 所 示 的 “新 建 配置 文件 (1) 属 性 对话 
框 。 根 据 实际 需要 ,设置 配置 文件 的 连接 信息 。 

(7) 切换 至 “安全 ”选项 卡 , 单 击 “ 属 性 ”按钮 ,显示 如 图 11-82 所 示 的 “ 受 保护 的 EAP 属 
性 ”对 话 框 ,选中 “启用 隔离 检查 ” 复 选 框 。 

(8) 连续 单 击 “ 确 定 ” 按 钮 ,返回 到 “组 策略 管理 编辑 器 ”对 话 框 。 

(9) 双击 XP 无 线 网 络 策略 ,显示 如 图 11-83 所 示 的 “XP 无 线 网 络 策略 属性 ”对 话 框 。 
根据 需要 ,设置 无 线 网 络 策略 的 名 称 和 描述 信息 。 

(10) 切换 至 “首选 网 络 ” 选 项 卡 , 在 网络” 列表 框 中 ,双击 相应 的 无 线 网 络 名 称 ,显示 如 
图 11-84 所 示 的 “编辑 NEWSSID 属性 ”对 话 框 , 即 可 开始 编辑 其 属性 设置 。 
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(11) 切换 到 “IEEE 802. 1x” 选 项 卡 , 单 击 “ 设 置 ” 按 钮 ,显示 如 图 11-85 所 示 的 “ 受 保护 
的 EAP 属性 ”对 话 框 ,选中 “启用 隔离 检查 ” 复 选 框 。 

(12) 连续 单 击 “确定 ”按钮 ,返回 到 “组 策略 管理 编辑 器 ”对 话 框 。 

提示 : 因为 在 运行 Windows XP 的 计算 机 上 ,没有 组 策略 为 有 线 网 络 配置 802. 1x 身份 
验证 属性 ,所 以 必须 手动 启用 PEAP 的 系统 健康 检查 。 

3. 配置 NAP 客户 端 设 置 

打开 * 组 策略 管理 窗口。 依次 展开 * 林 ”~* 域 ?选项 ,在 “链接 的 组 策略 对 象 ?面板 中 , 右 
击 适当 的 组 策略 对 象 ,在 快捷 菜单 中 选择 “编辑 ?选项 ,打开 * 组 策略 管理 编辑 器 ”窗口 。 依 次 
展开 “计算 机 配置 ”一 “策略 ”>“Windows 设置 ”一 “安全 设置 ?一 “ 网 络 访问 保护 ”一 “NAP 
客户 端 配置 ?选项 。 

在 控制 台中 , 单 击 “ 强 制 客户 端 ”, 在 右 侧 栏 中 ,双击 “EAP 隔离 强制 客户 端 ? 图 标 ,显示 
如 图 11-86 所 示 的 “EAP 隔离 强制 客户 端 属性 ”对 话 框 。 选 中 “启用 此 强制 客户 端 " 复 选 框 ， 
单 击 “ 确 定 ” 按 钮 ,保存 设置 。 
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对 于 运行 Windows XP SP3 的 计算 机 ,在 控制 台中 ,依次 展开 “计算 机 配置 >“ 管理 模 
板 ”>“Windows 组 件 ”>“ 网 络 访问 保护 ”选项 。 然 后 在 右 侧 栏 中 ,双击 “允许 网 络 访问 保护 
客户 端 支持 802. 1x 强制 客户 端 组 件 ” 图 标 ,显示 如 图 11-87 所 示 的 “允许 网 络 访问 保护 客户 
端 支持 802. 1x 强制 客户 端 组 件 属性 ”对 话 框 。 在 “设置 ”选项 卡 中 ,选中 “已 启用 ” 单 选 按 
钮 ,然后 单 击 “ 确 定 ” 按 钮 ,保存 设置 即 可 。 
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图 11-86 “EAP 隔离 强制 客户 端 属性 ” 图 11-87 “允许 网 络 访问 保护 客户 端 支持 802. 1x 
对 话 框 强制 客户 端 组 件 属性 ”对 话 框 


11.5 配置 VPN 强制 


对 VPN 强制 的 工作 过 程 有 所 了 解 之 后 , 即 可 开始 在 网 络 中 部 署 VPN 强制 。 需 要 注意 
的 是 , 某 些 环节 对 系统 或 网 络 策略 安全 性 配置 要 求 比较 高 ,如 果 服 务 器 分 配 不 够 合理 , 则 可 
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能 导致 应 用 故障 。 如 果 条 件 允 许 ,建议 为 每 台 服 务 器 角色 选择 单独 的 服务 器 ,以 免 由 于 彼此 
之 间 的 系统 环境 需求 不 同 ,而 导致 兼容 问题 。 该 企业 网 络 中 将 VPN 服务 器 与 NPS 服务 器 
规划 在 同一 台 计 算 机 上 。 


11.5.1 为 VPN 服务 器 配置 EAP 身份 验证 


如 果 用 户 没有 为 远程 访问 VPN 连接 使 用 基于 EAP 的 身份 验证 方法 , 则 用 户 必须 配置 
基于 Windows Server 2008 的 VPN 服务 器 使 之 运行 基于 EAP 的 身份 验证 。 

(1) 在 “路 由 和 远程 访问 "窗口 , 右 击 路 由 和 远程 访问 服务 器 的 名 称 ,在 快捷 菜单 中 选择 
“属性 ”选项 ,显示 “VPN( 本 地 ) 属性 ”对 话 框 。 单 击 “ 安 全 ”标签 切换 至 如 图 11-88 所 示 的 
“安全 ”选项 卡 。 由 于 安装 了 NPS 服务 器 ,必须 使 用 它 进行 身份 验证 和 记 账 。 

(2) 单 击 “ 身 份 验 证 方法 ”按钮 ,显示 如 图 11-89 所 示 的 “身份 验证 方法 ”对 话 框 ,选中 
“可 扩展 的 身份 验证 协议 (EAP)" 复 选 框 。 
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图 11-88 “安全 ”选项 卡 图 11-89 “身份 验证 方法 ”对 话 框 
(3) 连续 两 次 单 击 “ 确 定 ” 按 钮 ,保存 配置 即 可 。 


11.5.2 配置 NAP 健康 策略 服务 器 


VPN 强制 的 NAP 健康 策略 服务 器 ,与 远程 访问 VPN 身份 验证 所 使 用 的 NPS 
RADIUS 服务 器 相同 。 为 了 配置 NAP 健康 策略 服务 器 ,用 户 必须 对 现 有 NPS 服务 器 进行 
如 下 配置 。 

Q@ 申请 计算 机 验证 证 书 。 

@ 安装 和 配置 SHV。 

@ 配置 RADIUS 服务 器 设置 。 

@ 配置 VPN 强制 的 健康 要 求 策 略 。 

1. 申请 计算 机 验证 证 书 

(1) 在 NPS 服务 器 上 , 单 击 * 开 始 ? 按 钮 ,在 “开始 搜索 "文本 框 中 输入 mme 并 按 Enter 
键 , 打 开 “ 控 制 台 ”窗口 ,依次 选择 “文件 ”>“ 添 加 或 删除 管理 单元 ”选项 ,显示 如 图 11-90 所 示 
的 “添加 或 删除 管理 单元 "对话 框 ,在 “可 用 的 管理 单元 ”列表 中 ,选择 “证 书 ” 单 元 。 

(2) 单 击 “ 添 加 ”按钮 ,显示 如 图 11-91 所 示 的 “证 书 管理 单元 ”对 话 框 ,选中 “计算 机 账 
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图 11-90 “添加 或 删除 管理 单元 "对 话 框 


户 ” 单 选 按钮 。 

(3) 单 击 * 下 一 步 ”按钮 ,在 “选择 计算 机 ”对 话 框 中 ,选中 “本 地 计算 机 ” 单 选 按钮 。 依 次 
单 击 “ 完 成 ”按钮 和 “确定 ”按钮 ,返回 “控制 台 ” 窗 口 。 在 “控制 台 ” 窗 口中 ,依次 展开 “证 书 (本 
地 计算 机 )”>“ 个 人 ”选项 , 右 击 “个 人 ”并 依次 选择 “所 有 任务 ”>“ 申 请 新 证 书 ” 选 项 ,显示 如 
11-92 所 示 的 “在 您 开始 前 ”对 话 框 。 


图 11-91 “证 书 管理 单元 ”对 话 框 图 11-92 “在 您 开始 前 ”对 话 框 


(4) 单 击 * 下 一 步 ? 按 钮 ,显示 如 图 11-93 所 示 的 “申请 证 书 ” 对 话 框 ,选中 “计算 机 ” 复 
选 框 。 

(5) 单 击 “ 注 册 ” 按 钮 ,开始 向 网 络 中 的 CA 提交 证 书 申请 , 稍 等 即 可 成 功 。 单 击 “ 完 成 ” 
按钮 ,返回 “控制 台 ” 窗 口 ,如 图 11-94 所 示 。 

2. 创建 VPN 强制 策略 

(1) 在 NPS 服务 器 上 ,打开 “网 络 策略 管理 器 ”窗口 。 单 击 NPS, 在 “标准 配置 "下 拉 列 
表 框 中 选择 “网 络 访问 保护 (NAP)” 选 项 。 单 击 “ 配 置 NAP” 链 接 , 显 示 如 图 11-95 所 示 的 
“选择 与 NAP 一 起 使 用 的 网 络 连接 方法 ”对 话 框 。 在 “网 络 连 接 方法 ”中 ,选择 “虚拟 专用 网 
络 (VPN)”, 在 “策略 名 称 ” 文 本 框 中 输入 对 应 的 名 称 ,建议 使 用 默认 名 称 。 


‘=o 
| EECEITIETOTYT | alglal 
申请 证 书 TE ER I 
多 本 以 请 求 下 列 闪 0 四书 * 选择 要 清末 的 还 书 ， 可 后 单 击 “注册”* 控 利 如 民 节点 人 
HN 才 抽 太 - 本 几 EE = 
厂 显示 所 有 模板 以) 
了 有 全 98 更 多 信息 
CJ _™ | 
图 11-93 “申请 证 书 ” 对 话 框 图 11-94 “控制 台 ” 窗 口 


(2) 单 击 “下 一 步 ? 按 钮 ,显示 如 图 11-96 所 示 的 “指定 NAP 强制 服务 器 运行 VPN 服务 
器 "对话 框 ,由 于 NAP 健康 策略 服务 器 已 经 是 一 台 RADIUS 服务 器 ,本 例 中 配置 VPN 服 
务 器 时 ,已 经 将 RADIUS 服务 器 指向 该 服务 器 。 需 要 注意 的 是 ,必须 在 该 服务 器 上 设置 与 
之 对 应 的 RADIUS 客户 端 ,双方 才 可 以 建立 连接 。 


到 | 
嚼 , 选择 与 NAP 一 起 使 用 的 网 络 连接 方法 J 指定 NAP 强制 服务 器 运行 VPN 服务 器 
2 
如 曙光 得 Try 服务 如 各 为 Bar 窜 户 氏 ， 请 单机 “ 泽 加 ”， 
Ven FADIUS 说 户 清 伯 )- ao 
FA 本 杭 用 人 人 全 用 请 向 导轨 的 每 赴 第 名 上 的 一 部 分 六 可 以 人 用 要 认 本 世 检 总 它 ~ PH 
Pew .| 
其 他 要 来: 
Stes we ngs mit sn wr me 
其他 要 求 0 中] 
El = 7 Wa | 参 上 - 步 oj |[TEm] Sn | Wn 
11-95 “选择 与 NAP 一 起 使 用 的 网 络 图 11-96 “指定 NAP 强制 服务 器 运行 
连接 方法 ”对 话 框 VPN 服务 器 "对 话 框 


提示 : 如 果 在 此 之 前 ,管理 员 在 NPS 一 “RADIUS 服务 器 和 客户 端 ” 中 设置 了 指向 VPN 
服务 器 的 RADIUS 客户 端 , 则 将 显示 在 “RADIUS 客户 端 ? 列 表 中 。 

(3) 单 击 “添加 ”按钮 ,显示 如 图 11-97 所 示 的 “新 建 RADIUS 客户 端 ?对 话 框 ,在 “友好 
名 称 " 文 本 框 中 ,设置 适当 的 名 称 ,在 “地 址 ?文本 框 中 ,输入 VPN 服务 器 的 了 了 地址。“ 共 享 
机 密 ” 的 方式 必须 与 VPN 服务 器 相 匹配 。 

(4) 单 击 “ 确 定 ” 按 钮 ,返回 “指定 NAP 强制 服务 器 运行 VPN 服务 器 ”对话 框 。 单 击 “ 下 
一 步 ?按钮 ,显示 如 图 11-98 所 示 的 “配置 用 户 组 和 计算 机 组 ”对 话 框 ,根据 需要 配置 组 。 如 
果 不 选择 , 则 将 对 所 有 计算 机 组 和 用 户 组 有 效 。 

(5) 单 击 “下 一 步 ?按钮 ,显示 如 图 11-99 所 示 的 “配置 身份 验证 方法 ”对 话 框 ,为 PEAP 
身份 验证 选择 NPS 所 使 用 的 计算 机 证 书 , 即 上 述 操 作 中 申请 的 验证 证 书 。 根 据 需 要 选中 
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计算 机 网 络 安全 
到 
hy 配置 用 户 组 和 计算 机 组 
DD 站 谋生 
如 昌 趟 进香 任何 给， 此 裔 路 档 应 用 于 所 有 用 户 ~ 
计算 机 组 - 
pr 
用 
条 加 用 户 中 
WT 
Sw | TSw|_ an 了 月 
图 11-97 “新 建 RADIUS 客户 端 " 对 话 框 图 11-98 “配置 用 户 组 和 计算 机 组 ”对 话 框 


“安全 密码 (PEAP-MS-CHAP v2)" 或 者 “智能 卡 或 其 他 证 书 (EAP-TLS)" 复 选 框 。 需 要 注 
意 的 是 ,VPN 服务 器 、NPS 和 客户 端 必须 设置 完全 相同 的 身份 验证 方式 ,否则 无 法 建立 连 
接 。 如 果 上 默认 没有 使 用 该 证 书 , 则 可 以 单 击 * 选 择 ” 按 钮 ,显示 “选择 证 书 ” 对 话 框 ,确认 为 所 
需 证 书 即 可 。 

(6) 单 击 “下 一 步 ? 按 钮 ,显示 如 图 11-100 所 示 的 “指定 NAP 更 新 服务 器 组 和 URL” 对 
话 框 。 更 新 服务 器 组 的 主要 作用 就 是 对 未 通过 健康 策略 审查 的 被 隔离 客户 端 进行 “补救 ”， 
通常 包括 WSUS 服务 器 、 网 络 防 病毒 服务 器 等 。 除 此 之 外 ,也 可 以 根据 健康 策略 的 审查 重 
点 不 同 , 而 不 设置 更 新 服务 器 组 ,例如 仅 检 测 网 络 防 火 墙 状态 。 在 这 里 单 击 “ 新 建 组 ”按钮 ， 
可 以 配置 更 新 服务 器 组 。 
| 


配置 身份 验证 方法 到 
pn a 指定 NAP 更 新 服务 器 组 和 URL 


更新 服务 加 组 
更 新 服务 各 存 针 看 BAF 辟 户 近 所 有 的 次 件 更 新 * 更 新 服务 器 明 包 入 一 个 或 多 个 更 新 服务 器 ， 


| i 这 入 人 忆 了 本 和 有 和 叶 诅 0) ， 或 音 击 “新建 组 ”bf 健 亲 组， 
"No 
ET 司 aaam 
[nlp net RR 2010712731 9-57-35) URL 3 
ns J 他 这， 主 让 入 计 Figts 将 定 位 


如 曙 他 有 有 天 由， 请 不 要 沪 入 VEL， 


大 2 
Pi . tts /ns coclpen st 
轩 赫 贿 天 中 下 这 
上 -和 步 思 EE 有 和 消 
11-99 “配置 身份 验证 方法 ”对话 框 11-100 “指定 NAP 更 新 服务 器 组 
和 URL” 对 话 框 


(7) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 11-101 所 示 的 “定义 NAP 健康 策略 ”对 话 框 ,选择 
VPN 强制 需要 评估 的 SHV ,根据 需要 选择 “启用 客户 端 计算 机 的 自动 更 新 ”选项 。 选 中 “人 允 
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许 对 不 具有 NAP 功能 的 客户 端 计算 机 的 完全 网 络 访问 权限 ” 单 选 按钮 , 即 可 使 用 户 想 要 不 
支持 NAP 功能 的 客户 端 拥有 受 限 访问 。 选 中 “启用 客户 端 计算 机 的 自动 更 新 " 复 选 框 , 则 
当 由 于 客户 端 计算 机 的 自动 更 新 为 开启 而 未 通过 策略 审核 被 隔离 时 ,将 自动 启动 客户 端的 
自动 更 新 设置 。 

(8) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 11-102 所 示 的 “正在 完成 NAP 增强 策略 和 RADIUS 
客户 端 配置 ?对 话 框 。 
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图 11-101 “定义 NAP 健康 策略 ”对 话 框 图 11-102 “正在 完成 NAP 增强 策略 和 RADIUS 
客户 端 配置 ?对话 杠 


(9) 单 击 “ 完 成 ”按钮 ,关闭 “配置 NAP” 向 导 。 

“配置 NAP” 向 导 创 建 的 连接 请 求 策 略 、 健 康 策略 和 网 络 策略 位 于 各 自 顺序 列表 的 底 
部 ,直到 用 户 删除 或 改变 现 有 远程 访问 VPN 网 络 策略 “配置 NAP” 向 导 创 建 的 网 络 策略 才 
会 用 于 基于 VPN 的 远程 访问 连接 的 身份 验证 或 健康 评估 。 

提示 : 为 了 确保 “配置 NAP” 向 导 产 生 的 策略 是 正确 无 误 的 ,应 在 “策略 ”的 “连接 请 求 
策略 ”“ 健 康 策略 ”和 “网 络 策略 ”中 ,一 一 检查 每 条 策略 的 执行 顺序 条件、 约束 和 设置 等 。 

3. 安装 和 配置 SHV 

SHYV 必须 安装 在 NAP 健康 策略 服务 器 上 ,进行 健康 策略 评估 。NPS 服务 包含 
Windows 安全 健康 验证 程序 SHV, 来 指定 运行 Windows Vista 或 Windows XP SP3 的 
NAP 客户 端的 Windows 安全 中 心 设置 ,包括 防火 墙 .自动 更 新 、 防 病毒 程序 、 防 间谍 软件 等 
审核 对 象 。 安 装 其 他 SHYV 的 方法 将 取决 于 SHV 供应 商 , 可 以 通过 供应 商 主页 下 载 或 者 运 
行 供应 商 提供 的 CD-ROM 中 的 安装 程序 进行 安装 。 配 置 方法 与 其 他 类 型 强制 相同 ,详细 
操作 参考 本 章 “ 配 置 IPSec 强制 "中 的 相关 内 容 。 

4. 为 RADIUS 客户 端 配置 NAP 支持 

NAP 健康 策略 服务 器 已 经 为 远程 访问 VPN 连接 配置 完成 。 对 于 VPN 连接 ,用 户 必 
须 在 VPN 相应 的 RADIUS 客户 端 属 性 对 话 框 中 ,选中 “RADIUS 客户 端 支持 NAP” 复 选 
框 。 用 户 也 可 以 从 “网 络 策略 管理 器 ”管理 单元 的 “RADIUS 客户 端 ? 节 点 中 更 改 RADIUS 
客户 端的 属性 。 由 于 VPN 强制 配置 将 使 用 报告 模式 ,不 符合 的 NAP 客户 端 拥 有 不 受 限 的 
访问 ,所 以 用 户 在 启用 强制 模式 之 前 ,可 能 需要 更 改 NAP 健康 策略 服务 器 的 登录 入 站 
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请 求 。 

在 “网 络 策略 服务 器 ”窗口 中 ,依次 展开 “NPS 
(本 地 )”>“RADIUS 客户 端 和 服务 器 ”RADIUS 
客户 端 " 选 项 。 右 击 名 称 为 VPN 的 RADIUS 客户 
端 ,选择 快捷 菜单 中 的 “属性 ”选项 ,显示 如 图 11-103 
所 示 的 “VPN 属性 ”对 话 框 ,选中 “RADIUS 客户 端 
支持 NAP" 复 选 框 。 


11.5.3 ”配置 NAP 客户 端 


由 于 VPN 客户 端 建立 到 VPN 服务 器 之 间 的 连 
接 之 前 ,需要 先 通过 NPS 服务 器 的 健康 评估 ,所 以 
与 常规 VPN 客户 端 配置 有 所 不 同 。 配 置 NAP 客户 
端的 基本 步骤 如 下 。 

Q@ 下 载 客户 端 计算 机 证 书 。 

@ 安装 SHA。 

@ 创建 和 配置 VPN 客户 端 。 

@ 通过 组 策略 配置 可 管理 的 NAP 客户 端 。 

1. 下 载 验 证 证 书 


地 址 0 各 M5) 
haims Eee 
-eon 或 从 列表 中 选择 SAETIS 容 户 满 什 


Nar Pres 
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图 11-103 “VPN 属性 ”对 话 框 


客户 端 计算 机 必须 登录 域 中 的 CA ,获取 所 需 的 验证 证 书 。 
(1) 打开 下 浏览 器 ,按照 http://CA 服务 器 /certsrv 方式 登录 CA, 显 示 如 图 11-104 所 


示 的 窗口 。 
短 Microsoft Actve Directory 证 骤 务 - Windows intemet Explorer I 
GO [Owner I [x ee sowren Dp- 
起 windows Uve FAT 日 - Ml Bf 65 MN | 罗 BDO- “| 四 时 


窗 全 儿 Microsoh Active Directory 正 % 服 和 


| 僵 - 罩 - 呈 -CFBP 全 Ia 


一 个 任务 : 
下 载 CA 证 书 、 证 书 链 或 CRL 


使 用 此 网 站 为 您 的 Web 浏览 器、 电子 邮件 客户 闫 或 其 他 程序 申请 证 书 。 通 过 使 用 证 书 ， 您 可 以 向 
通过 Web 进行 通信 的 用 户 确认 您 的 身份 、 签 名 并 加 裤 部 件 ， 并 根据 您 申请 的 证 书 类 型 执行 其 他 安 
全 任务 。 


您 也 可 以 使 用 此 网 站 下 载 证 书 颁发 机 构 (CA) 证 书 、 证 书 链 ,或 证 书 吊 销 列表 (CRL) ,或 者 查看 挂 起 I 
申请 的 状态 。 


有 关 Active Directory 证 书 服务 的 详细 信息 ,请 参阅 Active Directory 证 书 服务 文档 


@ imemet | Sp 区 世 用 
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图 11-104 登录 证 书 服务 器 


注意 : 集成 在 域 控制 器 上 的 CA, 默 认 情 况 下 ,已 禁止 “允许 匿名 访问 ”方式 ,此 时 可 以 联 
系 域 管 理 员 ,登录 证 书 服务 器 ,并 在 IIS 管理 器 中 ,启用 CA 站 点 以 及 Certsrv 目录 的 “允许 


匿名 访问 ”身份 验证 方式 。 


(2) 单 击 “ 下 载 CA 证 书 、 证 书 链 或 CRL” 链 接 , 显 示 如 图 11-105 所 示 的 “下 载 CA 证 书 、 


. ® [3 
网络 访问 保护 。 377 


图 11-105 “文件 下 载 -安全 警告 "对 话 框 


证 书 链 或 CRL” 窗 口 。 单 击 “ 下 载 CA 证 书 "链接 ,显示 “文件 下 载 -安全 警告 "对 话 框 。 

(3) 可 以 单 击 “ 保 存 ” 按 钮 , 先 将 证 书 保存 到 本 地 计算 机 ,然后 再 安装 到 相应 的 目录 下 ， 
也 可 以 单 击 * 打 开 ” 按 钮 ,直接 开始 安装 。 

安装 过 程 中 需要 注意 的 是 ,在 “证 书 存储 ”步骤 ,需要 选中 * 将 所 有 的 证 书 放 和 人 下 列 存 储 ” 
单 选 按钮 ,并 单 击 “浏览 按钮 ,打开 * 选 择 证 书 存储 ”对话 框 ,选择 * 受 信任 的 根 证 书 颁 发 机 
构 ” 目 录 , 如 图 11-106 所 示 。 

2. 创建 和 配置 VPN 客户 端 

VPN 客户 端 连接 的 创建 比较 简单 ,详细 操作 过 程 ,参考 本 章 中 的 相关 介绍 ,此 处 不 再 次 
述 。 配 置 VPN 强制 时 ,应 注意 客户 端 身份 验证 协议 是 否 正确 ,确保 与 VPN 服务 器 完全 一 
致 ,否则 将 无 法 建立 连接 。 

(1) 在 “网 络 连 接 ” 窗 口中 , 右 击 创建 的 VPN 连接 ,选择 快捷 菜单 中 的 “属性 ”选项 ,打开 
“coolpen 属性 "对话 框 。 切 换 至 “安全 ”选项 卡 ,选中 “高 级 ( 自 定义 设置 )" 单 选 按 钮 ,如 
图 11-107 所 示 。 
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(2) 单 击 “ 设 置 ”按钮 ,显示 如 图 11-108 所 示 的 “高 级 安全 设置 "对 话 框 ,在 “数据 加 密 ” 
下 拉 列 表 框 中 选择 “需要 加 密 (如 果 服 务 器 拒绝 将 断 开 连 接 )” 选 项 ,选中 “使 用 可 扩展 的 身份 
验证 协议 (EAP)” 单 选 按钮 ,并 选择 下 拉 列 表 框 中 的 “ 受 保护 的 EAP” 选 项 。 

(3) 单 击 “ 属 性 ”按钮 ,显示 如 图 11-109 所 示 的 “ 受 保护 的 EAP 属性 ”对 话 框 ,取消 “ 连 
接 到 这 些 服务 器 ” 复 选 框 。 选 中 “验证 服务 器 证 书 ” 复 选 框 , 在 “受信 任 的 根 证 书 颁发 机 构 ” 列 
表 框 中 ,会 发 现 已 经 安装 的 证 书 颁发 机 构 。 在 “选择 身份 验证 方法 "下拉 列表 框 中 ,选择 “ 安 
全 密码 ”选项 。 选 中 “启用 隔离 检查 " 复 选 框 。 
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3. 通过 组 策略 配置 NAP 客户 端 

当 服务 器 配置 了 NPS 策略 以 后 ,还 需要 对 客户 端 计 算 机 进行 一 定 的 配置 ,包括 启用 安 
全 中 心 . 启 用 NAP 客户 端 ,启用 代理 服务 等 。 这 样 ,才能 实现 对 客户 端 计算 机 的 网 络 访 问 
保护 。 虽 然 用 户 可 以 在 自己 的 计算 机 上 进行 配置 .但 为 了 提高 效率 ,通常 利用 组 策略 完成 ， 
使 客户 端 用户 登 录 时 自动 设置 计算 机 的 设置 ,完成 NAP 保护 功能 。 

(1) 创建 组 策略 

@ 以 域 管理 员 身 份 登录 到 域 控制 器 ,打开 “Active Directory 用 户 和 计算 机 ”控制 台 , 创 
建 一 个 组 织 单位 ,并 将 VPN 用 户 账户 移动 到 该 组 织 单位 中 。 依 次 选择 “开始 ”一 “管理 工 
具 ” 一 “组 策略 管理 ”选项 ,打开 “组 策略 管理 ”控制 台 , 依 次 展开 “ 林 :coolpen. net”“ 域 "一 
coolpen. net 选项 ,如 图 11-110 所 示 。 

@ 选择 欲 配 置 VPN 策略 的 组 织 单位 , 右 击 并 选择 快捷 菜单 中 的 “在 这 个 域 中 创建 
GPO 并 在 此 处 链接 ”选项 ,显示 如 图 11-111 所 示 的 “新 建 GPO” 对 话 框 。 在 “名 称 ” 文 本 框 中 
为 该 策略 输入 一 个 名 称 。 

@ 单 击 “ 确 定 ” 按 钮 ,一 个 组 策略 创建 完成 。 右 击 该 组 策略 并 选择 快捷 菜单 中 的 “编辑 ” 
按钮 ,打开 如 图 11-112 所 示 的 “组 策略 管理 编辑 器 ”窗口 。 

(2) 启用 安全 中 心 

在 “组 策略 管理 编辑 器 ”窗口 中 ,依次 展开 “计算 机 配置 "一 “策略 ” 一 “管理 模板 ”一 
“Windows 组 件 ”>“ 安 全 中 心 ”选项 。 选 择 “ 启 用 安全 中 心 ( 仅 限 域 PC)” 策 略 , 右 击 并 选择 
快捷 菜单 中 的 “属性 ”选项 ,打开 “启用 安全 中 心 ( 仅 限 域 PC) 属性 ”对 话 框 。 选 中 “已 启用 ” 
单 选 按 钮 ,如 图 11-113 所 示 。 最 后 , 单 击 “确定 ”按钮 保存 即 可 。 
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(3) 配置 NAP 客户 端 

在 “组 策略 管理 编辑 器 ”窗口 中 ,依次 展开 “计算 机 配置 ”一 “策略 ”>“Windows 设置 ”一 
“安全 设置 >“ 网 络 访问 保护 ”>“NAP 客户 端 配置 ”~* 强 制 客户 端 ? 选 项 。 在 “强制 客户 
端 "窗口 中 ,选择 “远程 访问 隔离 强制 客户 端 " 选 项 , 右 击 并 选择 快捷 菜单 中 的 “属性 ”选项 , 打 
开 “ 远 程 访 问 隔离 强制 客户 端 属性 ”对 话 框 。 选 中 “启用 此 强制 客户 端 " 复 选 框 ,如 图 11-114 
所 示 。 最 后 , 单 击 “ 确 定 ” 按 钮 保存 即 可 。 


Cj]_ 蝴 Ei 


图 11-114 “远程 访问 隔离 强制 客户 端 属性 ”对 话 框 


(4) 配置 NAP 代理 服务 

在 “组 策略 管理 编辑 器 ”窗口 中 ,依次 展开 “计算 机 配置 "一 “策略 ”一 “Windows 设置 ”一 
“安全 设置 ”一 “系统 服务 ”选项 。 选 择 Network Access Protection Agent 选项 , 右 击 并 选择 
快捷 菜单 中 的 “属性 ”选项 ,显示 “Network Access Protection Agent 属性 ”对 话 框 。 选 中 “ 定 
义 这 个 策略 设置 " 复 选 框 ,并 选中 “自动 ” 单 选 按 钮 ,如 图 11-115 所 示 。 最 后 , 单 击 “ 确 定 ” 按 
钮 保存 即 可 。 
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11-115 “Network Access Protection Agent 属性 ”对 话 框 


11.5.4 ”测试 受 限 VPN 客户 端的 访问 


在 启用 强制 模式 之 前 ,用 户 必须 测试 不 符合 的 NAP 客户 端的 受 限 访问 ,以 确保 其 可 以 
被 提示 未 通过 评估 的 原因 ,并 且 只 能 访问 受 限 网 络 中 的 补救 服务 器 。 
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(1) 在 “网 络 连接 ”窗口 中 ,双击 VPN 连接 ,输入 用 户 名 和 密码 并 单 击 “ 确 定 ” 按 钮 , 即 可 
尝试 连接 到 VPN 服务 器 。 由 于 已 经 设置 健康 策略 验证 ,所 以 VPN 客户 端 必须 先 提供 验证 
证 书 , 如 图 11-116 所 示 。 

(2) 单 击 “ 确 定 ” 按 钮 ,尝试 链接 到 VPN 服务 器 。 此 时 ,由 于 防火 墙 设置 不 符合 健康 策 
略 要 求 ,任务 栏 中 显示 “此 计算 机 不 符合 该 网 络 的 要 求 ” 信 息 , 如 图 11-117 所 示 。 


11-116 “验证 服务 器 证 书 ” 对 话 框 图 11-117 此 计算 机 不 符合 该 网 络 的 要 求 


(3) 单 击 信 息 提示 框 ,显示 如 图 11-118 所 示 的 “网 络 访问 保护 ”对 话 框 。 当 前 验证 结 
果 为 “未 成 功 ”, 修 正 结果 为 “管理 员 必 须 启 用 与 Windows 安全 中 心 兼 容 的 防火 墙 程序 ”。 

(4) 根据 提示 信息 ,启用 Windows 防火 墙 后 ,任务 栏 中 将 自动 显示 如 图 11-119 所 示 的 
提示 信息 * 此 计算 机 符合 该 网 络 的 要 求 ”。 
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11-118 “网 络 访问 保护 ”对 话 框 (1) 11-119 此 计算 机 符合 该 网 络 的 要 求 


(5) 此 时 单 击 信息 框 ,显示 如 图 11-120 所 示 的 “网 络 访问 保护 ”对 话 框 , 即 完 全 符合 健 
康 策略 的 要 求 。 
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图 11-120 “网 络 访问 保护 ”对 话 框 (2) 


11.6 配置 DHCP 强制 


NAP DHCP 强制 的 目的 是 在 DHCP 客户 端 租借 或 续 订 其 IP 地 址 时 ,执行 客户 端 健康 
检查 ,根据 评估 结果 为 其 分 配 相应 作用 域 的 IP 地 址 。 通 常情 况 下 , 需 完成 下 列 配置 。 

(1) 在 NPS 中 ,配置 连接 请 求 策略 、 网 络 策略 和 NAP 健康 策略 。 可 以 使 用 NPS 控制 
台 单独 配置 这 些 策 略 ,也 可 以 使 用 新 建 网 络 访问 保护 向 导 。 

(2) 在 可 用 NAP 的 客户 端 计算 机 上 启用 DHCP 强制 客户 端 和 NAP 服务 。 

(3) 在 DHCP 控制 台中 ,为 各 个 作用 域 或 在 DHCP 服务 器 上 配置 的 所 有 作用 域 启 
用 NAP。 

(4) 配置 网 络 策略 服务 器 上 的 SHYV 。 

(5) 配置 更 新 服务 器 组 。 


11.6.1 配置 NAP 健康 策略 服务 器 


与 配置 其 他 强制 类 型 的 NPS 服务 器 相同 ,首先 必须 安装 NPS 服务 器 角色 ,然后 安装 和 
配置 SHV。 由 于 NAP DHCP 强制 使 用 的 是 NPS 服务 器 集成 的 Windows 安全 健康 验证 程 
序 (WSHV) ,所 以 无 须 安 装 SHV，。 

1. 配置 RADIUS 服务 器 设置 

由 于 DHCP 服务 器 在 配置 DHCP 强制 之 前 ,不 需要 使 用 RADIUS 验证 即 可 分 配 IPv4 
地 址 ,所 以 NAP 健康 策略 服务 器 通常 没有 将 DHCP 服务 器 配置 为 RADIUS 客户 端 。 用 户 
必须 通过 NPS 管理 单元 添加 DHCP 服务 器 到 NAP 健康 策略 服务 器 上 。 当 在 “新 建 
RADIUS 客户 端 " 对 话 框 中 ,配置 RADIUS 客户 端 时 ,必须 选中 “RADIUS 客户 端 启 用 
NAP"” 复 选 框 。 

此 外 由 于 DHCP 强制 配置 将 使 用 报告 模式 ,不 符合 的 NAP 客户 端 拥 有 不 受 限 的 访问 ， 
所 以 用 户 在 启用 强制 模式 之 前 可 能 需要 更 改 NAP 健康 策略 服务 器 的 登录 入 站 请 求 。 用 户 
可 以 配置 NPS 服务 记录 入 站 请 求 和 记 账 信息 在 本 地 SQL 服务 器 数据 库 文件 中 。 

2. 为 DHCP 强制 配置 健康 要 求 策 略 

用 户 可 以 手动 或 者 通过 “配置 NAP 向 导 ” 为 DHCP 强制 创建 健康 要 求 策略 。 由 于 通过 
“配置 NAP 向 导 ? 进 行 的 配置 为 自动 完成 的 .所 以 推荐 使 用 这 种 方法 。 
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(1) 打开 “网 络 策略 管理 器 "窗口 , 单 击 NPS, 在 “标准 配置 "下拉 列表 框 中 选择 “网 络 访 
问 保护 (NAP)”。 单 击 “ 配 置 NAP” 链 接 , 显 示 如 图 11-121 所 示 的 “选择 与 NAP 一 起 使 用 的 
网 络 连 接 方 法 ”对 话 框 ,在 “网 络 连接 方法 ”中 ,选择 “动态 主机 配置 协议 (DHCP)”, 在 “策略 
名 称 ” 文 本 框 中 ,默认 名 称 为 NAP DHCP, 用 户 也 可 以 自 定义 。 

(2) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 11-122 所 示 的 “指定 NAP 强制 服务 器 运行 DHCP 服 
务 器 ”对 话 框 。 单 击 “ 添 加 ”按钮 , 即 可 添加 符合 启用 NAP 的 DHCP 服务 器 的 RADIUS 客 
户 端 。 
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图 11-121 “选择 与 NAP 一 起 使 用 的 网 络 图 11-122 “指定 NAP 强制 服务 器 运行 
连接 方法 ”对 话 框 DHCP 服务 器 ”对 话 框 


(3) 单 击 “下 一 步 ? 按 钮 ,显示 如 图 11-123 所 示 的 “指定 DHCP 作用 域 ” 对 话 框 , 单 击 “ 添 
加 ?按钮 ,为 健康 要 求 策 略 添加 标识 DHCP 作用 域 的 配置 文件 名 称 。 如 果 创 建 任何 名 称 , 则 
对 DHCP 服务 器 上 的 所 有 作用 域 启用 DHCP 
强制 。 ppP 指定 DHCP 作用 域 

(4) 单 击 “ 下 一 步 " 按 钮 ,显示 “配置 用 户 JINF 的 熙 于 9，)F5 会 评估 襄 户 油 健 康 状 况 ， 并 对 从 指定 范 国 中 请 求 If 雹 
组 和 计算 机 组 "对话 框 ,根据 需要 选择 计算 机 名 Es 肪 有 W , 
组 和 计算 机 如 » 三 eT on 
或 组 。 单 击 “ 下 一 步 ” 按 钮 ,指定 NAP 更 新 服 。 对 二 491 We。 
务 器 组 和 URL ,选择 希望 应 用 的 更 新 服务 器 。 ae 

涿 加 N) 

组 即 可 ,此 处 不 再 玖 述 。 硬 | 

(5) 单 击 “ 下 一 步 ” 按 钮 ,显示 “定义 NAP 
健康 策略 ”对 话 框 ,选择 DHCP 强制 需要 评估 
的 SHV。 选 择 “ 启 用 客户 端 计 算 机 的 自动 更 
新 ”选项 ,并 选中 “允许 对 不 具有 NAP 功能 的 Ew | 一 出 
客户 端 计算 机 的 完全 网 络 访问 权限 ” 单 选 按 
钮 ,即使 用 户 想 要 不 支持 NAP 功能 的 客户 端 ” ”图 11123 “指定 DHCP 作用 域 "对 话 框 
拥有 受 限 访问 。 因 为 用 户 想 要 最 初 的 NAP 强制 模式 为 报告 模式 ,所 以 用 户 必须 选择 “允许 
对 不 具有 NAP 功能 的 客户 端 计算 机 的 完全 网 络 访问 权限 ”。 在 配置 强制 模式 的 过 程 中 ,用 
户 可 以 为 不 具有 NAP 功能 的 客户 端 更 改 网 络 策略 来 限制 访问 。 
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(6) 单 击 “下 一 步 "按钮 ,显示 “正在 完成 NAP 增强 策略 和 RADIUS 客户 端 配置 "对话 
框 ,提示 由 该 向 导 创 建 的 各 种 策略 以 及 RADIUS 客户 端 和 更 新 服务 器 组 。 

(7) 单 击 “ 完 成 ”按钮 ,关闭 “配置 NAP” 向 导 即 可 。 

“配置 NAP 向 导 ? 创 建 的 连接 请 求 策略 和 网 络 策略 位 于 各 自 顺序 列表 的 底部 。 由 于 不 
符合 的 NAP 客户 端 网 络 策略 默认 情况 下 只 允许 受 限 访问 (强制 模式 ) ,用户 必 须 修 改 该 策 
略 使 之 允许 报告 模式 下 的 不 受 限 访问 。 

3. 为 系统 健康 要 求 配置 评估 条 件 

(1) 打开 “网 络 策略 服务 器 "窗口 ,依次 展开 “策略 ”一 “健康 策略 ”选项 ,如 图 11-124 所 
示 。 显 示 了 通过 配置 NAP 向 导 创 建 的 健康 策略 ,包括 "NAP DHCP 符合 "和 “NAP DHCP 
不 符合 ”两 条 。 

(2) 双击 “NAP DHCP 不 符合 ”健康 策略 ,显示 如 图 11-125 所 示 的 “NAP DHCP 不 符 
合 属性 ”对 话 框 。 根 据 实际 需要 ,在 “客户 端 SHYV 检查 ”下 拉 列 表 框 中 选择 相应 级 别 的 标 
准 , 如 “客户 端 未 能 通过 所 有 SHYV 检查 ”等 。“NAP DHCP 符合 ”健康 策略 的 条 件 设置 ,与 
之 完全 相同 ,此 处 不 再 歼 述 。 
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11-124 “网 络 策略 服务 器 ”窗口 图 11-125 “NAP DHCP 不 符合 属性 ”对 话 框 


4. 允许 免除 安全 组 完全 访问 

在 准备 工作 中 ,已 经 在 域 中 创建 了 免除 安全 组 ,并 将 需要 免除 的 计算 机 添加 到 组 中 。 在 
网 络 策略 服务 器 上 ,必须 为 这 些 计算 机 创建 单独 的 网 络 访问 策略 ,使 其 免除 DHCP 强制 。 

(1) 打开 “网 络 策略 服务 器 ”窗口 ,依次 展开 “策略 ?一 网络 策略 ?选项 。 右 击 “* 配 置 
NAP 向 导 ? 为 符合 的 NAP 客户 端 创 建 的 DHCP 网 络 策略 ,在 快捷 菜单 中 选择 “重复 策略 ” 
选项 ,可 以 看 到 副本 ,默认 是 禁用 的 ,如 图 11-126 所 示 。 

(2) 双击 “副本 NAP DHCP 符合 ”策略 ,显示 如 图 11-127 所 示 的 “副本 NAP DHCP 符 
合 属性 ”对 话 框 。 在 “概述 ”选项 卡 中 ,可 以 重新 定义 策略 名 称 , 例 如 “DHCP 免除 安全 组 ”。 
在 “策略 状态 "区域, 选中 “策略 已 启用 ” 复 选 框 ,并 选中 “授予 访问 权限 " 单 选 按 钮 。 

(3) 切换 至 “条 件 ” 选 项 卡 , 单 击 “ 添 加 ”按钮 ,显示 “选择 条 件 ” 对 话 框 ,选中 “Windows 
组 ”并 单 击 “ 添 加 ”按钮 ,显示 “Windows 组 ”对 话 框 ,将 创建 好 的 免除 安全 组 添加 进来 即 可 ， 
如 图 11-128 所 示 。 

(4) 连续 单 击 “ 确 定 ” 按 钮 ,保存 设置 。 同 时 在 “条 件 ” 选 项 卡 中 删除 除 默 认 “ 健 康 策略 ” 


图 11-126 “网 络 策略 服务 器 ”窗口 


图 11-127 “概述 ”选项 卡 


图 11-128 “条 件 ” 选 项 卡 
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之 外 的 所 有 条 件 。 
(5) 在 “网 络 策略 "窗口 中 ,将 用 于 免除 安全 组 的 健康 策略 移动 到 最 前 端 ,以 确保 对 所 有 
客户 端 先 实施 此 策略 评估 。 


11.6.2 配置 NAP 客户 端 


同 其 他 类 型 的 NAP 客户 端 类 似 ,管理 员 可 以 通过 多 种 方式 配置 NAP 客户 端 。 如 果 客 
户 端 是 域 成 员 计 算 机 , 则 可 以 借助 组 策略 统一 部 署 。 如 果 是 独立 计算 机 , 则 可 以 通过 修改 客 
户 端 计算 机 的 本 地 策略 完成 。 主 要 配置 操作 如 下 。 

(1) 配置 NAP 客户 端 设置 。 

(2) 启用 Windows 安全 中 心 ( 参 考 “ 配 置 VPN 强制 "中 NAP 客户 端的 配置 ) 。 

(3) 配置 网 络 访问 保护 代理 服务 的 自动 启用 (参考 “配置 VPN 强制 "中 NAP 客户 端的 
配置 ) 。 

注意 : DHCP NAP 强制 客户 端 中 需要 配置 的 “DHCP 隔离 强制 客户 端 ”, 系 统 默认 是 禁 
用 ,用 户 只 需 借助 组 策略 或 其 他 手段 ,启用 该 功能 即 可 ,如 图 11-129 所 示 。NAP 客户 端的 
其 他 配置 与 VPN 强制 客户 端 完全 相同 ,此 处 不 再 丙 述 。 
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图 11-129 配置 NAP 客户 端 


11.6.3 将 DHCP 服务 器 配置 为 RADIUS 客户 端 


NPS 服务 器 之 所 以 能 够 响应 客户 端的 DHCP 请 求 , 评 估 系 统 健康 程度 ,就 是 基于 NPS 
服务 器 的 RADIUS 服务 器 ,在 中 间 起 了 至 关 重 要 的 转发 作用 。 因 此 ,必须 先 将 DHCP 服务 
器 配置 为 RADIUS 服务 器 的 客户 端 。 

(1) 打开 “网 络 策略 服务 器 ”窗口 ,依次 展开 “RADIUS 客户 端 和 服务 器 ”一 “RADIUS 
客户 端 ? 选 项 ,显示 如 图 11-130 所 示 的 窗口 。 由 于 在 配置 NPS 服务 器 的 网 络 策略 时 ,已 经 
将 DHCP 服务 器 设置 为 RADIUS 客户 端 ,不 过 此 时 并 不 支持 NAP。 

(2) 右 击 RADIUS 客户 端 ,选择 “属性 ”选项 ,显示 如 图 11-131 所 示 的 “DHCP 属性 ”对 
话 框 。 选 中 “启用 此 RADIUS 客户 端 " 和 “RADIUS 客户 端 支持 NAP” 复 选 框 。 其 他 选项 保 
持 默 认 设 置 即 可 。 
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图 11-130 “网 络 策略 服务 器 "窗口 图 11-131 “DHCP 属性 ”对 话 框 


11.6.4 ”配置 DHCP 服务 器 选项 


当 DHCP 服务 器 被 配置 为 NPS 服务 器 ,或 者 所 在 网 络 中 新 增 NPS 服务 器 后 , 原 有 
DHCP 服务 将 被 新 的 包含 NPS 功能 的 组 件 所 取代 ,管理 员 需 要 对 NPS 涉及 的 DHCP 选项 
进行 重新 配置 。 默 认 状 态 下 ,NPS 关联 的 组 件 没有 启用 。 

1. 配置 作用 域 

NPS 安装 完成 后 ,在 DHCP 作用 域 属性 中 ,添加 了 一 项 网络 访问 保护 ”选项 卡 ,默认 情 
况 下 ,该 设置 没有 启用 ,需要 网 络 管理 员 启用 该 设置 。 

在 DHCP 控制 台 窗口 中 ,依次 展开 “AD2. coolpen. net( 服 务 嚣 名称)” 一 IPv4 选项 , 显 
示 当 前 DHCP 上 的 所 有 作用 域 。 首 先 , 右 击 想 要 配置 网 络 安全 防护 的 作用 域 并 选择 “属性 ” 
选项 ,打开 “作用 域 属性 ”对 话 框 ,然后 切换 至 “网 络 访问 保护 ”选项 卡 。 在 “网 络 访 问 保护 设 
置 ?选项 区 中 ,选中 * 对 此 作用 域 启 用 ” 单 选 按钮 ,如 图 11-132 所 示 。 如 果 在 NPS 服务 器 上 
设置 了 标识 作用 域 配置 文件 的 名 称 , 则 可 以 选中 * 使 用 自 定义 配置 文件 ” 单 选 按钮 ,并 在 “ 配 
置 文件 名 ”文本 框 中 ,输入 指定 的 名 称 。 

注意 : 如 果 此 服务 器 同时 提供 IPv6 下 的 DHCP 服务 , 则 还 需要 在 IPv6 的 所 有 作用 域 
中 ,执行 相同 操作 。 

2. 配置 服务 器 选项 

NAP 通过 新 的 NAP* 用 户 类 作用 域 ?选项 ,使 计算 机 在 同一 作用 域内 的 受 限 网 络 和 不 
受 限 网 络 访问 之 间 切 换 。 在 为 状态 不 良 的 客户 端 计算 机 提供 租约 时 ,会 使 用 这 组 特殊 的 作 
用 域 选项 (DNS 服务 器 .DNS 域名 、 路 由 器 等 )。 例 如 ,提供 给 状态 良好 的 客户 端的 默认 
DNS 后 缀 为 coolpen. net, 而 状态 不 良 的 客户 端 提供 的 DNS 后 缀 为 unsafecoolpen. net。 

(1) 在 DHCP 管理 窗口 中 ,依次 展开 DHCP 一 “lxh-2008. coolpen. net( 服 务 器 名 )” 一 
IPv4 一 “服务 器 选项 ”选项 , 右 击 “服务 器 选项 ”并 选择 快捷 菜单 中 的 “配置 选项 ”选项 ,显示 如 
图 11-133 所 示 的 “服务 器 选项 ”对 话 框 。 

(2) 切换 至 “高 级 ”选项 卡 ,在 “供应 商 类 别 " 下 拉 列 表 框 中 ,选择 “DHCP 标准 选项 "选项 ; 
在 “用 户 类 别 ? 下 拉 列 表 框 中 ,选择 “默认 的 网 络 访问 保护 级 别 ? 选 项 ,如 图 11-134 所 示 。 
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图 11-132 配置 DHCP 作用 域 图 11-133 “服务 器 选项 ”对 话 框 


[二 EN 
图 11-134 “高 级 ”选项 卡 图 11-135 003 路 由 器 


(3) 在 “可 用 选项 "列表 中 ,选中 “003 路 由 器 ” 复 选 框 ,在 “IP 地 址 ”文本 框 中 ,输入 网 络 
中 路 由 器 使 用 的 了 P 地 址 ,例如 192. 168. 0. 3, 单 击 * 添 加 ”按钮 。 如 果 网 络 中 有 多 个 路 由 器 ， 
可 以 再 次 添加 。 如 果 发 现 路 由 器 的 顺序 错误 , 则 可 以 单 击 “下 移 ” 按 钮 或 者 "上 移 ” 按 钮 ,调整 
路 由 器 的 顺序 ,如 图 11-135 所 示 。 

(4) 在 “可 用 选项 ”列表 中 ,选中 “006 DNS 服务 器 ” 复 
选 框 ,在 “IP 地 址 ”文本 框 中 ,输入 网 络 中 DNS 服务 器 使 x 
用 的 IP 地 址 , 单 击 “ 添 加 ”按钮 。 如 果 网 络 中 有 多 个 “Raaa SR 


DNS ,可 以 逐次 添加 。 如 果 发 现 DNS 服务 器 的 顺序 错误 ， [Bs 如 ra 
则 可 以 单 击 “下 移 "按钮 或 者 "上 移 " 按 钮 ,调整 DNS 服务 LE 2 


器 的 顺序 ,如 图 11-136 所 示 。 
(5) 在 “可 用 选项 ”列表 中 ,选中 “015 DNS 域名 ” 复 选 
框 ,在 “数据 项 ”选项 区 的 “字符 串 值 "文本 框 中 ,输入 临时 
的 DNS 域名 ,如 图 11-137 所 示 。 ey 
提示 : 临时 域 的 域名 和 DHCP 安装 过 程 创建 的 域名 “Dw | mw | 
不 同 ,没有 实际 的 作用 ,只 是 方便 网 络 管理 员 区 分 连 到 网 
络 中 的 计算 机 ,哪些 是 安全 的 ,哪些 是 不 安全 的 。 例 如 ,如 图 11-136 ”006 DNS 服务 器 
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果 计 算 机 是 安全 的 , 则 使 用 coolpen. net 域名 ; 如 果 计 算 机 不 是 安全 的 , 则 使 用 这 里 指定 的 
unsafecoolpen. net 域名 。 


(6) 单 击 “ 确 定 ” 按 钮 ,完成 服务 器 选项 的 设置 ,如 图 11-138 所 示 。 
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图 11-137 015 DNS 域名 图 11-138 配置 完成 后 的 作用 域 选 项 


11.6.5 测试 DHCP 强制 客户 端 


测试 DHCP 强制 配置 结果 是 否 成 功 , 只 需 在 指定 客户 端 上 修改 其 安全 配置 ,使 其 符合 
健康 策略 和 不 符合 安全 健康 策略 ,然后 查看 其 获取 的 IP 地 址 类 型 即 可 。 

如 果 客 户 端 在 关闭 系统 防火 墙 或 者 没有 安装 最 新 更 新 补丁 的 情况 下 ,登录 域 控制 器 ,或 
者 登录 域 后 关闭 了 某 些 Windows 安全 功能 , 则 此 时 任务 栏 中 会 提示 如 图 11-139 所 示 的 “此 
计算 机 不 符合 该 网 络 的 要 求 " 信 息 。 证 明 NAP 服务 器 开始 发 挥 作用 。 

此 时 该 客户 端 不 能 继续 访问 网 络 中 的 某 些 服务 器 或 计算 机 。 单 击 提示 信息 ,打开 如 
图 11-140 所 示 的 “网 络 访问 保护 ”对 话 框 。 该 窗口 中 提示 当前 客户 端 未 能 通过 网 络 策略 检 
测 的 原因 ,并 给 出 解决 问题 的 方案 。 这 些 提示 方法 就 是 系统 健康 策略 模板 中 管理 员 设 定 的 
处 理 操作 。 
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图 11-139 此 计算 机 不 符合 该 网 络 的 要 求 图 11-140 “网 络 访问 保护 ”对 话 框 (3) 


打开 命令 提示 符 窗口 ,输入 ipconfig/renew 命令 ,重新 获取 IP 地 址 ,再 使 用 ipconfig 命 
令 , 查 看 当前 人 地 址 ,显示 如 图 11-141 所 示 结 果 。 在 DHCP 服务 器 上 为 不 安全 客户 端 分 
配 的 IP 地 址 是 192.168. 2. 10 一 192.168.2.100, 而 此 次 测试 中 获取 的 IP 地址 是 
192. 168. 2. 11 ,恰恰 是 该 范围 内 的 地 址 。 
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图 11-141 作为 不 安全 客户 端 时 获取 的 IP 地 址 


用 户 可 以 根据 提示 信息 尝试 解决 相关 问题 ,如 开启 系统 防火 墙 软件 保护 功能 或 将 
系统 升级 到 最 新 等 。 处 理 完毕 后 ,任务 栏 中 会 出 现 如 图 11-142 所 示 的 提示 信息 。 

此 时 , 单 击 “ 此 计算 机 符合 该 网 络 的 要 求 ”提示 信息 ,会 显示 如 图 11-143 所 示 的 “网 络 访 
问 保 护 ” 对 话 框 ,提示 已 具有 完全 的 网 络 访问 权限 
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图 11-142 此 计算 机 符合 该 网 络 的 要 求 图 11-143 “网 络 访问 保护 ”对 话 框 (4) 


再 次 重新 获取 人 P 地 址 ,并 使 用 ipconfig 命令 查看 ,显示 如 图 11-144 所 示 结 果 。 此 次 获取 
的 耳 地 址 是 192. 168. 1. 101 ,与 DHCP 服务 器 上 指定 的 192. 168. 1. 100 一 192. 168. 1. 200 相 
符 ,说明 DHCP 强制 配置 成 功 
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图 11-144 ”作为 安全 客户 端 时 获取 的 IP 地 址 
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习题 


1. 简 述 NAP 的 运行 机 制 。 

2. NAP 技术 的 主要 应 用 领域 有 哪些 ? 
3. 简 述 NAP 系统 的 基本 组 成 。 

4. 部 署 NAP 客户 端的 方式 有 哪些 ? 


实验 : 配置 TS 网 关 强 制 


实验 目的 : 

掌握 NAP 强制 的 基本 应 用 。 

实验 内 容 : 

在 企业 网 络 中 配置 TS 网 关 , 并 通过 NAP 强制 系统 对 使 用 TS 服务 器 实现 远程 管理 的 
客户 端 进行 系统 健康 评估 。 

实验 步骤 : 

(1) 配置 NAP 系统 。 

(2) 配置 TS 服务 器 。 

(3) 在 NAP 服务 器 上 创建 对 远程 TS 连接 的 强制 策略 。 

(4) 在 客户 端 计算 机 上 尝试 通过 TS 服务 器 访问 服务 器 远程 桌面 ,验证 NAP 强制 是 否 
有 效 。 


安全 设备 规划 与 配置 


随 着 计算 机 网 络 应 用 领域 的 不 断 延 伸 ,信息 安全 已 经 成 为 关乎 每 个 用 户 的 问题 。 一 个 
企业 网 络 中 可 以 没有 服务 器 ,但 绝 不 能 没有 安全 保障 系统 。 局 域 网 中 常见 的 安全 设备 包括 
网 络 防火 墙 \ 入 侵 检测 系统 、 入 侵 防 御 系统 等 ,这 些 设备 分 布 在 网 络 中 的 不 同位 置 ,可 以 为 整 
个 网 络 或 重点 对 象 提供 更 可 靠 的 保护 。 


12.1 网 络 安全 设备 规划 


本 案例 涉及 的 计算 机 网 络 是 一 个 拥有 500 个 信息 点 、 百 焰 接 入 Internet 的 中 型 企业 网 
络 。 公 司 内 部 大 部 分 业务 也 转向 网 络 平台 ,在 充分 享受 计算 机 网 络 带 来 的 快速 ,灵活 、 便 利 
的 同时 ,也 随时 面临 着 网 络 安全 带 来 的 不 利 影响 。 因 此 ,在 原 有 网 络 基础 上 实施 一 套 完整 、 
可 操作 的 安全 解决 方案 不 仅 是 可 行 的 ,而 且 是 必需 的 。 


12.1.1 案例 情景 


企业 通过 Internet 可 以 把 遍布 世界 各 地 的 资源 拿 来 共享 ,也 可 以 为 自身 树立 良好 的 企 
业 形 象 。 由 于 Internet 的 高 度 开放 性 ,企业 网 络 接 入 Internet 无 疑 会 面临 更 多 的 风险 。 这 
也 是 该 企业 网 络 一 直 没 有 全 面 接 入 Internet 的 主要 原因 。 目 前 ,企业 网 络 中 的 部 分 服务 器 
只 对 内 网 提供 服务 ,并 未 连接 到 Internet。 随 着 企业 不 断 将 更 多 的 商务 活动 转移 到 网 络 , 针 对 
网 络 系统 的 非法 入侵 病毒 活动 也 随 之 增多 。 现 有 的 被 动 安全 防御 体系 越 来 越 显 得 微不足道 。 

目前 , 现 有 的 网 络 安全 防御 措施 都 是 基于 网 络 服务 器 .路 由 器 和 交换 机 的 ,通常 以 被 动 
防御 为 主 。 服 务 器 感染 病毒 可 以 通过 网 络 防 病毒 系统 扫描 和 查 杀 病毒 ; 通过 用 户 账户 权限 
分 配 ,使 普通 用 户 无 法 访问 网 络 中 的 机 密 数 据 信 息 。 另 外 ,内 部 网 络 按照 所 属 的 部 门 、. 职 能 、 
安全 重要 程度 分 为 许多 子 网 ,例如 办 公 区 内 划分 了 财务 部 、 人 事 部 、 领 导 部 门 等 ,并 且 在 核心 
交换 机 上 为 不 同 的 逻辑 子 网 划分 了 不 同 的 VLAN ,严格 避免 来 自 内 部 网 络 的 隐患 。 

目前 ,该 企业 局 域 网 存在 以 下 安全 隐患 。 

(1) 网 络 与 Internet 直接 连接 ,可 能 通过 Internet 访问 造成 病毒 、 黑 客 攻 击 以 及 来 自 
Internet 的 非法 授权 访问 等 。 

(2) 网 络 中 的 部 分 应 用 服务 器 需要 将 服务 发 布 到 Internet, 可 能 造成 公开 服务 器 的 安全 
风险 扩散 到 内 部 。 

(3) 内 部 网 络 中 存在 许多 不 同 的 子 网 .不 同 的 子 网 有 不 同 的 安全 性 ,需要 将 不 同 功能 和 
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安全 级 别 的 网 络 加 以 区 分 。 
12.1.2 项 目 需求 


企业 网 络 的 信息 完全 防御 系统 不 应 该 仅仅 是 建立 在 信息 理论 与 技术 手段 上 ,也 不 能 仅 
仅 依 靠 安 全 的 通信 协议 和 严格 的 访问 控制 策略 。 网 络 安全 设备 的 重要 作用 也 是 不 容 忽 视 
的 。 安 全 分 析 技 术 的 源 数 据 主 要 来 自 安全 设备 ,只 有 硬件 设备 与 现 有 技术 手段 相辅相成 , 才 
能 充分 发 挥 各 自 的 安全 防护 功能 。 

在 该 企业 网 络 中 ,安全 问题 主要 集中 在 服务 器 防护 上 ,包括 防 病毒 、 防 黑客 人 侵 等 , 男 外 
还 包括 内 部 网 络 重要 子 网 的 安全 防护 ,如 财务 部 子 网 、 领 导 部 门 等 。 目 前 ,网 络 安全 项 目的 
总 体 需 求 如 下 。 

(1) 公开 服务 器 的 安全 保护 。 

(2) 防止 黑客 从 外 部 攻击 。 

(3) 入 侵 检测 与 监控 。 

(4) 信息 审计 与 记录 。 

(5) 病毒 防护 。 

(6) 数据 安全 保护 。 

(7) 数据 备份 与 恢复 。 

(8) 互联 网 访问 安全 管理 。 

在 部 署 安全 系统 时 ,应 该 满足 以 下 需求 。 

(1) 大 幅度 地 提高 系统 的 安全 性 (重点 是 可 用 性 、 可 控 性 和 主动 防御 )。 

(2) 保持 网 络 原 有 特点 ,对 网 络 协 议和 传输 具有 很 好 的 透明 性 ,能 透明 接 入 ,无 须 更 改 
网 络 设置 。 

(3) 易于 操作 ,维护 并 便于 管理 ,不 增加 或 少 增加 附加 操作 。 

(4) 尽量 不 影响 原 网 络 拓扑 结构 ,同时 便于 系统 及 系统 功能 的 扩展 。 

(5) 安全 保密 系统 具有 较 好 的 性 价 比 ,一 次 性 投资 ,长 期 使 用 。 

(6) 安全 产品 具有 合法 性 ,已 经 过 国家 有 关 管 理 部 门 的 认可 或 认证 。 


12.1.3 解决 方案 


网 络 安全 解决 方案 的 优 劣 直接 关系 到 企业 信息 网 络 的 安全 性 。 网 络 的 安全 性 并 不 是 取 
决 于 使 用 了 哪些 安全 新 技术 ,部 署 了 哪些 安全 设备 ,更 重要 的 是 这 些 技 术 和 设备 运用 是 否 合 
理 \ 得 当 。 针 对 该 企业 的 网 络 安全 现状 .将 通过 在 网 络 中 部 署 网 络 防 火 墙 \. 入 侵 检测 系统 和 
入 侵 防 御 系 统 , 解 决 用 户 的 安全 需求 问题 。 

1. 网 关 安 全 一 一 网 络 防火 墙 

网 关 是 指 局 域 网 的 出 口 , 即 局 域 网 连接 到 Internet 接口 。 通 常 在 网 关 处 部 署 防火 墙 。 
传统 的 硬件 防火 墙 支持 协议 层 过 滤 , 阻 断 未 经 允许 的 端口 访问 。 应 用 层 防火 墙 可 以 对 应 用 
层 的 数据 包 进 行 过 滤 ,拒绝 可 疑 的 数据 包 。Cisco 公司 的 ASA 系列 产品 ,完成 协议 层 过 滤 ， 
利用 访问 控制 列表 过 滤 目 标 站 点 。 图 12-1 所 示 是 本 方案 中 采用 的 Cisco ASA 5500 系列 防 
火 墙 。Cisco ASA 5500 系列 自 适 应 安全 设备 是 一 个 模块 化 平台 ,为 中 小 型 企业 应 用 提供 了 
全 面 的 安全 服务 ,包括 防火 墙 \ 入 侵 防 御 系 统 、Anti-X 和 VPN 服务 等 。 
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2. 局 部 安全 一 一 IDS 

对 于 企业 网 络 中 安全 要 求 较 高 且 容 易 受到 攻击 的 对 象 可 以 实施 重点 保护 ,例如 办 公子 
网 、 服 务 器 子 网 等 。IDS(Intrusion Detection Systems, 人 人 侵 检 测 系 统 ) 作 为 一 种 网 络 安全 的 
监测 设备 ,可 以 依照 一 定 的 安全 策略 ,对 网 络 、 系 统 的 运行 状况 进行 监视 , 尽 可 能 发 现 各 种 攻 
击 企图 、 攻 击 行为 或 者 攻击 结果 ,以 保证 网 络 系统 资源 的 机 密 性 、 完 整 性 和 可 用 性 。 图 12-2 
所 示 是 本 解决 方案 中 使 用 的 Cisco IDS 4250。 


图 12-1 Cisco ASA 5500 防火 墙 图 12-2 Cisco IDS 4250 


通过 在 服务 器 区 域 的 汇聚 交换 机 上 部 署 IDS, 可 以 确保 网 络 服务 器 的 安全 。IDS 在 捕 
捉 到 某 一 攻击 事件 后 , 按 策略 进行 检查 ,如 果 策 略 中 对 该 攻击 事件 设置 了 防火 墙 阻 断 ,那么 ， 
入 侵 检测 系统 就 会 发 给 防火 墙 一 个 相应 的 动态 阻 断 策略 ,防火 墙根 据 该 动态 策略 中 的 设置 
进行 相应 的 阻 断 , 阻 断 的 时 间 、 阻 断 时间 间 隔 、 源 端口 .目的 端口 . 源 IP 和 目的 卫 等 信息 ,完全 
依照 人 侵 检 测 系统 发 出 的 动态 策略 来 执行 。 总 的 来 说 ,联动 有 一 定 效果 ,但 是 稳定 性 不 理想 。 

3. 全 网 安全 防护 一 一 IPS 

部 署 在 网 关 处 的 网 络 防火 墙 已 经 可 以 起 到 整个 网 络 安全 的 作用 ,但 由 于 其 工作 原理 简 
单 , 仅 能 对 已 经 存在 的 安全 威胁 因素 进行 拦截 和 过 
滤 。 而 通过 在 网 络 防火 墙 的 后 面 再 部 署 IPS 
(Intrusion Prevention System, 和 人 侵 防 御 系统 ) ,不 
仅 可 以 实时 捕获 和 分 析 网 络 数据 流 ,发 现 潜在 的 网 
络 攻击 因素 ,而 且 可 以 实时 多 种 相应 方式 。 图 12-3 
所 示 为 Cisco IPS 4260 入 侵 防御 设备 。 


12.2 网络 安全 设计 


网 络 安全 设备 种 类 繁多 ,而 且 产 品质 量 良 邯 不 齐 , 例 如 Cisco 公司 的 安全 设备 就 包括 
Cisco PIX\Cisco ASA .Cisco FWSM Cisco IDS、Cisco IPS、Cisco VPN 等 ,并 且 随 着 产品 整 
合 程度 的 不 断 提升 ,大 部 分 辅助 安全 设备 已 经 实现 模块 化 ,大 大 节约 了 用 户 组 网 成 本 ,便于 
集中 控制 和 管理 。 不 过 需要 注意 的 是 ,不 同 的 安全 设备 在 网 络 中 的 位 置 是 有 所 不 同 的 ,选择 
安全 设备 时 不 仅 要 注意 产品 类 型 .厂家 ,更 应 结合 自己 的 实际 需要 。 


12.2.1 网 络 防火 墙 设计 


网 络 防火 墙 的 主要 特点 是 只 能 对 通过 它 的 数据 包 进行 拦截 和 过 滤 ,通常 需要 部 署 在 被 
保护 网 络 的 边界 ,如 局 域 网 接 人 Internet 时 ,就 应 将 防火 墙 部 署 在 局 域 网 的 出 口 处 。 网 络 防 
火 墙 可 以 应 用 于 以 下 4 种 网 络 环境 。 

1. 内 部 网 络 与 Internet 的 连接 之 间 

内 部 网 络 与 Internet 的 连接 之 间 是 防火 墙 应 用 最 广 , 也 是 最 重要 的 应 用 环境 。 在 这 种 


图 12-3 Cisco IPS 4260 入 侵 防御 设备 
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应 用 环境 下 ,防火 墙 主要 保护 内 部 网 络 不 遭受 非法 用 户 的 攻击 。 这 也 是 目前 绝 大 多 数 企 业 
网 络 安装 防火 墙 的 主要 目的 。 一 般 可 将 防火 墙 网 络 划 分 为 3 个 不 同 级 别 的 安全 区 域 , 如 
表 12-1 和 图 12-4 所 示 。 
表 12-1 连接 内 外 网 防火 墙 的 不 同安 全 区 
安全 区 域 说 ”有明 
这 是 防火 墙 要 保护 的 对 象 ,包括 全 部 的 企业 内 部 网 络 设备 及 用 户主 机 ,这 个 区 
域 是 防火 墙 的 可 信 区 域 (这 是 由 传统 防火 墙 的 设计 理念 决定 的 ) 


这 是 防火 墙 要 防护 的 对 象 ,包括 Internet 主机 和 设备 ,这 个 区 域 为 防火 墙 的 不 
可 信 网 络 区 域 (也 是 由 传统 防火 墙 的 设计 理念 决定 的 ) 

它 是 从 企业 内 部 网 络 中 划分 的 一 个 小 区 域 , 其 中 包括 内 部 网 络 中 用 于 公众 服 
务 的 外 部 服务 器 ,如 Web 服务 器 ,邮件 服务 器 .FTP 服务 器 和 外 部 DNS 服务 
器 等 ,它们 都 是 为 Internet 提供 某 种 信息 服务 的 


内 部 网 络 


外 部 网 络 


非 军事 区 (Demilitarized 
Zone, DMZ) 


外 部 区 域 


内 部 区 域 
图 12-4 ”防火墙 分 割 的 3 个 区 域 


在 这 3 个 区 域 中 ,用 户 需要 对 不 同 的 安全 区 域 给 予 不 同 的 安全 策略 。 虽 然 内 部 网 络 和 
DMZ 区 都 属于 企业 内 部 网 络 的 一 部 分 ,但 它们 的 安全 级 别 (策略 ) 是 不 同 的 。 对 于 要 保护 的 
大 部 分 内 部 网 络 , 一 般 情况 下 禁止 所 有 来 自 Internet 用 户 的 访问 。 由 企业 内 部 网 络 划分 出 
去 的 DMZ 区 , 因 要 为 Internet 应 用 提供 相关 的 服务 ,所 以 在 一 定 程度 上 ,没有 内 部 网 络 限 
制 那么 严格 ,如 Web 服务 器 通常 是 允许 任何 人 进行 正常 的 访问 。 

这 些 服务 器 是 不 是 很 容易 被 攻击 呢 ? 由 于 在 这 些 服务 器 上 所 安装 的 服务 非常 少 ,所 允 
许 的 权限 非常 低 ,真正 有 服务 器 数据 的 是 在 受 保护 的 内 部 网 络 主 机 上 。 所 以 ,黑客 攻击 这 些 
服务 器 没有 任何 意义 , 既 不 能 获取 什么 有 用 的 信息 ,也 不 能 通过 攻击 它 而 获得 过 高 的 网 络 访 
问 权 限 。 

提示 : 建议 通过 NAT( 网 络 地 址 转换 ) 技 术 将 受 保 护 的 内 部 网 络 的 全 部 主机 地 址 映射 
成 防火 墙 上 设置 的 少数 几 个 有 效 公 网 IP 地 址 。 这 样 有 两 个 好 处 : 其 一 可 以 对 外 屏蔽 内 部 
网 络 和 IP 地 址 ,保护 内 部 网 络 的 安全 ; 其 二 由 于 公 网 IP 地 址 共享 ,所 以 可 以 大 大 节省 公 网 
IP 地 址 的 使 用 ,节省 了 企业 投资 成 本 。 

2. 连接 局 域 网 和 广域网 

局 域 网 和 广域网 之 间 的 连接 也 是 应 用 防火 墙 最 多 的 地 方 ,不 过 ,网 络 用 户 根据 自己 具体 
需要 的 不 同 , 有 两 种 连接 方式 可 供 选 择 。 


@e。 
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如 果 用 户 网 络 原来 已 存在 边界 路 由 器 , 则 可 充分 利用 原 有 设备 ,利用 边界 路 由 器 的 包 过 
滤 功 能 ,添加 相应 的 防火 墙 配置 ,这 样 原来 的 路 由 器 也 就 具有 防火 墙 功能 了 。 然 后 再 利用 防 
火 墙 与 需要 保护 的 内 部 网 络 连接 。 

对 于 DMZ 区 中 的 公用 服务 器 ,可 以 直接 与 边界 路 由 器 相连 ,只 经 过 路 由 器 的 简单 防 
护 ,而 不 经 过 防火 墙 。 边 界 路 由 器 与 防火 墙 就 一 起 组 成 了 两 道 安全 防线 ,如 图 12-5 所 示 ,并 
且 在 这 两 者 之 间 可 以 设置 一 个 DMZ 区 ,用 来 放置 那些 允许 外 部 用 户 访问 的 公用 服务 器 
设施 。 

如 果 用 户 网 络 中 不 存在 边界 路 由 器 , 则 此 时 直接 由 防火 墙 来 保护 内 部 网 络 , 如 图 12-6 
所 示 。 此 时 DMZ 区 域 和 需要 保护 的 内 部 网 络 分 别 连接 防火 墙 的 不 同 LAN 网 络 接口 。 
此 ,需要 对 这 两 部 分 网 络 设置 不 同 的 安全 策略 。 这 种 网 络 中 虽然 只 有 一 道 安全 防线 ,但 对 于 
大 多 数 中 小 企业 来 说 是 完全 可 以 满足 的 。 不 过 在 选 购 防 火 墙 时 就 要 注意 ,防火 墙 一 定 要 有 
两 个 以 上 的 LAN 网 络 接口 。 


外 部 网 络 


RS | 6a 络 
”内 部 网络 ”| 2 


DMZ 区 


图 12-5 存在 边界 路 由 器 网 络 连接 图 12-6 无 边界 路 由 器 的 网 络 连 接 


3. 内 部 网 络 不 同 部 门 之 间 的 连接 

这 种 应 用 环境 就 是 在 一 个 企业 内 部 网 络 之 间 ,对 一 些 安全 性 要 求 较 高 的 部 门 (如 人事 管 
理 或 财务 管理 等 ) 进 行 隔离 保护 ,使 内 部 网 络 中 敏感 部 门 的 资源 不 被 非法 访问 。 在 这 些 部 门 
的 网 络 主机 中 的 数据 对 于 企业 来 说 是 非常 重要 的 , 它 的 工作 不 能 完全 离开 企业 网 络 ,但 其 中 
的 数据 又 不 能 随便 供 网 络 用 户 访问 。 

一 种 有 效 的 方法 就 是 采用 防火 墙 进行 隔离 ,在 防火 墙 上 进行 相关 的 配置 (比划 分 
VLAN 简单 许多 )。 通 过 防火 墙 隔离 后 ,尽管 同属 于 一 个 内 部 局 域 网 ,但 是 其 他 用 户 的 访问 
都 需要 经 过 防火 墙 的 过 滤 ,符合 条 件 时 才能 访问 。 这 类 防火 墙 不 仅 要 通过 包 过 滤 来 筛选 数 
据 包 ,而 且 还 要 对 用 户 身份 的 合法 性 (在 防火 墙 中 可 以 设置 允许 哪些 用 户 访问 ) 进 行 识别 , 通 
常 为 自 适应 代理 服务 器 型 防火 墙 ; 同时 它 具 有 日 志 
记录 功能 ,对 网 络 管理 员 了 解 网 络 安全 现状 及 改进 
非常 重要 。 在 如 图 12-7 所 示 的 网 络 中 , 同 是 一 个 企 
业 的 内 部 网 络 ,可 以 将 需要 受到 保护 的 重要 部 门 和 
一 些 服务 器 通过 防火 墙 连接 至 其 他 网 络 。 

4. 用 户 与 中 心服 务 器 之 间 的 连接 

对 于 一 个 服务 器 中 心 而 言 , 大 多 数 的 服务 器 都 图 12-7 连接 内 部 子 网 络 
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需要 对 第 三 方 ( 合 作 伙伴 或 Internet 用 户 等 ) 开 放 , 但 是 所 有 这 些 服务 器 分 别 属于 不 同 用 户 
所 有 ,其 安全 策略 也 各 不 相同 。 如 果 把 它们 都 定义 在 同一 个 安全 区 域 中 ,显然 不 能 满足 各 用 
户 的 不 同 需求 。 这 时 ,就 可 以 按 不 同安 全 策略 保护 这 些 服务 器 。 根 据 实 施 方式 的 不 同 又 可 
以 分 为 以 下 两 种 网 络 环境 。 

(1) 每 台 服务 器 单独 配置 独立 的 防火 墙 

这 种 方法 是 最 容易 实现 的 也 是 最 直观 的 ,但 这 种 方案 无 论 从 经 济 上 ,还 是 从 使 用 和 管理 
的 灵活 可 靠 性 上 都 不 是 最 好 的 。 一 则 需要 购买 与 托管 代理 服务 器 数据 一 样 多 的 防火 墙 ,对 
托管 中 心 来 说 投资 非常 大 ; 二 则 托管 中 心 管理 员 
面 对 这 么 多 防火 墙 ,其 管理 难度 可 想 而 知 。 

(2) 配置 虚拟 网 络 防火 墙 

这 主要 是 利用 三 层 交 换 机 的 VLAN 功能 , 先 
在 三 层 交 换 机 上 将 有 不 同安 全 要 求 的 服务 器 划分 
至 不 同 的 VLAN。 然 后 ,借助 对 高 性 能 防火 墙 模 
块 的 VLAN 子 网 配置 ,将 防火 墙 划分 为 多 个 虚拟 
防火 墙 , 如 图 12-8 所 示 。 这 种 方案 虽然 配置 较为 
复杂 ,但 配置 完成 后 ,随后 的 使 用 和 管理 将 相当 方 


核心 交换 机 
防火 墙 模块 


便 ,就 像 用 交换 机 管理 多 个 VLAN 子 网 一 样 来 管 Deeduds 
理 每 个 用 户 服务 器 ,而 且 该 方案 在 现实 中 比较 经 图 12-8 ”虚拟 防火 墙 
济 可 行 。 


提示 : 借助 三 层 交 换 机 或 路 由 器 内 置 的 防火 墙 模 块 ,也 可 以 为 不 同 的 用 户 VLAN 配置 
不 同 的 安全 策略 ,从 而 将 网 络 攻击 限制 在 不 同 的 VLAN 中 ,从 而 保证 整个 网 络 的 安全 。 


12.2.2 入 侵 检 测 系 统 设 计 


IDS 一 般 位 于 内 部 网 的 入 口 处 ,安装 在 防火 墙 的 后 面 ,用 于 检测 入 侵 和 内 部 用 户 的 非法 
活动 ,提供 对 内 部 攻击 、 外 部 攻击 和 误 操作 的 实时 保护 ,在 网 络 系统 受到 危害 之 前 进行 拦截 
和 响应 入 侵 处 理 。 它 可 在 不 影响 网 络 性 能 的 情况 下 对 网 络 进行 监听 ,从 而 实现 对 网 络 的 
保护 。 

1. IDS 位 置 

IDS 在 交换 式 网 络 中 一 般 选 择 以 下 位 置 。 

(1) 尽 可 能 靠近 攻击 源 。 

(2) 尽 可 能 靠近 受 保护 资源 。 

这 些 位 置 通常 在 以 下 位 置 。 

(1) 服务 器 区 域 的 交换 机 上 (如 图 12-9 所 示 ) 。 

(2) Internet 接 人 路 由 器 之 后 的 第 一 台 交 换 机 上 。 

(3) 重点 保护 网 段 的 局 域 网 交换 机 上 。 

在 实际 的 使 用 中 ,大 多 数 入 侵 检测 的 接 人 方式 ,都 是 采用 by-pass( 旁 路 ) 方 式 来 侦 听 网 
络 上 的 数据 流 。 所 以 ,这 就 限制 了 IDS 本 身 的 阻 断 功能 。IDS 只 有 靠 发 阻 断 数据 包 来 阻 断 
当前 行为 ,并 且 IDS 的 阻 断 范围 也 很 小 .只 能 阻 断 建立 在 TCP 协议 基础 之 上 的 一 些 行为 ,如 
Telnet\FTP 和 HTTP 等 ,而 对 于 一 些 建立 在 UDP 基础 之 上 的 一 些 行为 就 无 能 为 力 了 。 
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为 防火 墙 的 策略 都 是 事先 设置 好 的 ,无 法 动态 设置 策略 ,缺少 针对 攻击 的 必要 灵活 性 ,不 能 
更 好 地 保护 网 络 的 安全 。 所 以 IDS 与 防火 墙 联动 的 目的 就 是 更 有 效 地 阻 断 所 发 生 的 攻击 
事件 ,从 而 使 网 络 隐患 降 至 较 低 限度 。 

2. IDS 与 防火 墙 联动 

防火 墙 是 实施 访问 控制 策略 的 系统 ,对 流 经 的 网 络 流量 进行 检查 ,拦截 不 符合 安全 策略 
的 数据 包 。IDS 通过 监视 网 络 或 系统 资源 ,寻找 违反 安全 策略 的 行为 或 攻击 迹象 ,并 发 出 报 
警 。 防火墙 和 IDS 之 间 是 互补 的 关系 ,两 者 协同 工作 ,如 图 12-10 所 示 。 


图 12-9 服务 器 区 域 的 交换 机 上 图 12-10 IDS 与 防火 墙 协同 工作 


客户 一 般 会 在 出 口 部 署 防火 墙 来 进行 访问 控制 ,部署 人 侵 检 测 系统 来 检测 攻击 。 但 是 ， 
防火 墙 不 能 有 效 地 检测 并 阻 断 夹杂 在 正常 流量 中 的 攻击 代码 ,例如 针对 Web 服务 的 
Unicode 攻击 ,而 蠕虫 爆发 往往 首先 让 防火 墙 瘫 疯 , 对 于 P2P 下 载 防火 墙 同样 无 能 为 力 。 人 
侵 检测 系统 虽然 能 够 监测 到 攻击 ,但 是 它 提 供 的 保护 与 防火 墙 联动 和 TCP 复位 都 存在 很 大 
的 问题 ,在 现实 应 用 中 很 难 起 到 相应 的 作用 ,结果 是 虽然 看 到 了 攻击 ,但 是 ,仍然 让 攻击 得 手 
了 。 由 此 可 见 ,借助 防火 墙 和 IDS 的 安全 措施 并 不 能 完全 解决 现实 问题 。 

入 侵 检测 系统 在 捕捉 到 某 一 攻击 事件 后 , 按 策略 进行 检查 ,如 果 策 略 中 对 该 攻击 事件 设 
置 了 防火 墙 阻 断 ,那么 人 侵 检测 系统 就 会 发 给 防火 墙 一 个 相应 的 动态 阻 断 策略 ,防火 墙根 据 
该 动态 策略 中 的 设置 进行 相应 的 阻 断 。 阻 断 的 时 间 、 阻 断 时 间 间 隔 、 源 端口 .目的 端口 、 源 
IP 和 目的 IP 等 信息 ,完全 依照 人 侵 检测 系统 发 出 的 动态 策略 来 执行 。 一 般 来 说 ,用 户 的 防 
火 墙 与 IDS 并 不 是 同一 家 的 产品 ,因此 在 联动 的 协议 上 面 大 都 遵从 OPSEC 或 者 TOPSEC 
协议 进行 通信 。 不 过 ,也 有 某 些 厂家 自己 开发 相应 的 通信 规范 。 总 的 来 说 ,联动 有 一 定 效 
果 , 但 是 稳定 性 不 理想 。 攻 击 者 可 以 利用 伪造 的 包 信息 让 IDS 错误 判断 ,进而 错误 指挥 防 
火 墙 将 合法 的 地 址 无 束 屏 蔽 掉 。 

TCP 重 置 的 缺陷 如 下 。 

(1) 只 对 TCP 连接 起 作用 。 

(2) IDS 向 攻击 者 和 受害 者 发 送 TCP Reset 命令 ,IDS 必须 在 40 亿 字 节 的 范围 内 猜测 
到 达 受 害 者 时 的 序列 号 数 ,以 关闭 连接 。 这 种 方法 在 实际 上 是 不 可 实现 的 。 

(3) 即使 IDS 最 终 猜 测 到 了 到 达 受 害 者 的 序列 号 ,关闭 了 连接 ,攻击 实际 上 已 经 对 受害 
者 产生 了 作用 。 

IDS 与 防火 墙 联动 的 缺点 如 下 。 
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(1) 使 用 和 设置 上 复杂 ,影响 FW 的 稳定 性 与 性 能 。 

(2) 阻 断 来 自 源 地 址 的 流量 ,不 能 阻 断 连接 或 单个 数据 包 。 

(3) 黑客 盗用 合法 地 址 发 起 攻击 ,造成 防火 墙 拒绝 来 自 该 地 址 的 合法 访问 。 

(4) 可 靠 性 差 , 实 际 环境 中 没有 实用 价值 。 

因为 诸多 不 足 ,在 目前 而 言 ,IDS 主要 起 的 还 是 监听 记录 的 作用 。 用 个 比喻 来 形容 : 网 
络 就 好 比 一 片 黑暗 ,到 处 充满 着 危险 , 冥 冥 中 只 有 一 个 出 口 。IDS 就 像 一 个 手电 简 ,虽然 手 
电 简 不 一 定 能 照 到 正确 的 出 口 ,但 有 总 比 没有 要 好 一 些 。 称 职 的 网 管 , 可 以 从 IDS 中 得 到 
一 些 关于 网 络 使 用 者 的 来 源 和 访问 方式 ,进而 依据 自己 的 经 验 进 行 主观 判断 (注意 ,的 确 是 
主观 判断 。 例 如 ,用 户 连续 ping 了 服务 器 半 个 小 时 ,到 底 是 意图 攻击 ,还 是 无 意 中 的 行为 ? 
这 都 依据 网 络 管理 员 的 主观 判断 和 网 络 对 安全 性 的 要 求 来 确定 对 应 方式 ) 对 IDS 的 选择 ， 
与 上 面谈 到 防火 墙 的 选择 类 似 , 根 据 自 己 的 实际 要 求 和 使 用 习惯 ,选择 一 个 自己 够 用 的 ,会 
使 用 的 就 足够 了 。 


12.2.3 入 侵 防 御 系 统 设 计 


IPS 同 防火 墙 在 网 络 中 的 连接 方式 基本 相似 。 不 过 ,也 有 其 较为 特殊 的 方式 。 通 常情 
况 下 ,依据 IPS 防护 的 区 域 不 同 ,而 将 其 连接 至 不 同 的 位 置 。 

1. 路 由 防护 

路 由 防护 ,将 IPS 直接 部 署 至 路 由 器 和 核心 交换 机 之 间 , 借 助 网 络 的 边界 防护 ,实现 
IPS 和 防火 墙 功能 ,为 整个 网 络 提供 网 络 安全 保护 ,如 图 12-11 所 示 。 


图 12-11 路 由 防护 


2. 交换 防护 

将 IPS 作为 网 络 核心 ,采用 一 进 多 出 或 多 进 多 出 的 方式 ,实现 不 同 网 段 相互 连接 ,进行 
数据 交换 ,同时 实现 防火 墙 功能 ,如 图 12-12 所 示 。 

3. 多 链 路 防护 

采用 多 路 IPS 的 连接 方式 ,一 路 IPS 防护 一 个 ISP 接 入 ,各 路 IPS 相互 独立 ,彼此 之 间 
没有 数据 交换 , 互 不 干扰 ,如 图 12-13 所 示 。 
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图 12-13 多 链 路 防护 


4. 混合 防护 
多 种 模式 分 层 防 护 , 监 控 与 防护 相 结合 ,更 完善 。 在 线 NIPS 模式 与 旁 路 NIDS 模式 相 
配合 ,如 图 12-14 所 示 。 


12.2.4 综合 安全 设计 


为 了 充分 发 挥 各 种 安全 设备 的 优点 ,以 取得 最 好 的 网 络 安全 效果 ,可 以 将 不 同 的 安全 产 
品 应 用 至 不 同 的 网 络 位 置 ,使 其 安全 功能 相互 搭配 ,从 而 发 挥 每 个 设备 的 最 佳 安全 效能 , 实 
现 无 颖 的 网 络 安全 。 

通常 情况 下 ,将 IPS 置 于 网 络 总 出 口 ,实现 网 络 入 侵 过 滤 ; IDS 旁 路 于 服务 器 群 组 
的 Uplink 端口 , 侦 测 对 网 络 服务 器 发 动 的 攻击 ; 核心 交换 机 集成 防火 墙 模块 ,实现 虚 
拟 防火 墙 与 IDS 的 互动 ,交换 机 和 路 由 器 启用 IOS 防火 墙 。 网络 拓 扑 结 构 如 图 12-15 
所 示 。 
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12.2.5 知识 链接 : 网 络 防火 墙 .IDS 与 IPS 


1. 网 络 防火 墙 一 一 Cisco PIX 和 ASA 

很 多 年 来 ,Cisco PIX 一 直 都 是 Cisco 最 具 代表 性 的 防火 墙 。PIX 防火 墙 使 用 PIX 操作 
系统 。 虽 然 PIX 操作 系统 和 Cisco IOS 看 起 来 非常 接近 ,但 是 ,彼此 之 间 还 是 有 着 较 大 的 差 
异性 。 与 之 相 比 ,Cisco ASA 是 Cisco 系列 中 全 新 的 防火 墙 和 反 恶 意 软 件 安全 产品 ,允许 用 
户 根 据 网 络 环境 选择 适合 自己 的 安全 产品 ,适应 领域 更 广 。 

尽管 PIX 是 一 款 非 常 优秀 的 防火 墙 .但 是 ,由 于 安全 威胁 日 新 月 异 , 因 此 ,仅仅 使 用 一 
台 静 态 数据 包 过 滤 防 火 墙 来 保护 网 络 已 经 远 远 不 够 了 。 对 于 网 络 而 言 ,新 的 安全 威胁 层 出 
不 穷 一 一 包括 病毒 .蠕虫 大 量 应 用 软件 (例如 P2P 软件 、 网 络 游戏 .即时 通信 软件 等 )、 网 络 
欺诈 ,以 及 应 用 程序 层面 的 攻击 等 。 
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如 果 一 台 设 备 可 以 应 付 多 种 威胁 ,就 称 其 提供 了 Anti-X 能 力 ,或 者 说 它 提供 了 “多 重 威 
胁 (multi-threat) ”防护 ,但 是 ,PIX 恰恰 无 法 提供 这 种 层次 的 防护 。 显 然 , 大 家 都 不 希望 采 
取 安 装 一 台 PIX 进行 静态 防火 墙 过 滤 ,同时 ,再 使 用 一 些 其 他 的 工具 来 防护 其 他 威胁 的 办 
法 。 因 此 ,用 户 更 迫切 需要 一 台 “ 集 所 有 功能 于 一 身 ” 的 设备 一 一 或 是 采用 一 台 UTM( 统 一 
威胁 管理 ) 设 备 。 

ASA 恰好 针对 这 些 不 同类 型 的 攻击 提供 了 防护 ,甚至 比 一 台 UTM 设备 更 强劲 .更 有 
效 。 不 过 ,车 欲 成 为 一 台 真 正 的 UTM ,还 需要 装 一 个 CSC-SSM 模块 (Content Security and 
Control Security Service, 内 容 安全 以 及 控制 安全 服务 )。 该 模块 在 ASA 中 提供 Anti-X 功 
能 ,如 果 没 有 CSC-SSM ,那么 ASA 的 功能 看 起 来 会 更 像 一 台 PIX。 

在 购置 安全 设备 时 ,建议 选择 ASA 而 不 是 PIX。 首 先 ,ASA 的 价格 比 同 样 功能 的 PIX 
要 低 。 其 次 ,选择 ASA 就 意味 着 选择 了 更 新 更 好 的 技术 。 

对 于 已 经 在 使 用 Cisco PIX 的 用 户 而 言 ,Cisco 已 经 提供 了 一 个 迁移 指南 ,可 以 解决 从 
Cisco PIX 迁移 到 ASA 上 的 问题 。 由 于 厂商 往往 是 提供 从 老 产 品 向 新 产品 的 迁移 指南 ,而 
不 是 相反 ,可 见 ,Cisco 终止 PIX 的 日 子 正 离 我 们 越 来 越 近 。 

提示 : 面 对 Internet 上 五 花 八 门 的 不 同 威胁 ,无 法 再 简单 地 像 以 往 那样 有 了 一 套 防 火 
墙 就 万 事 大 吉 了 。 对 完整 的 防护 措施 而 言 , 一 个 多 重 防护 的 方法 必 不 可 少 。 虽 然 ASA 的 
确 是 很 好 的 一 个 选择 ,但 是 这 也 并 不 意味 着 它 是 唯一 选项 。 许 多 生产 商 (特别 是 国内 安全 厂 
商 ) 都 提供 了 很 好 的 产品 ,因此 ,可 选择 的 余地 还 是 很 大 的 。 

2. IDS 与 IPS 比较 

IPS 是 在 IDS 的 基础 上 发 展 出 来 的 ,IDS 是 一 种 网 络 安全 系统 , 当 有 敌人 或 者 恶意 用 户 
试图 通过 Internet 进入 网 络 甚 至 计算 机 系统 时 ,这 种 系统 可 以 检测 出 来 ,并 进行 报警 ,通知 
管理 员 采 取 措 施 进行 响应 。IPS 是 IDS 技术 的 一 种 新 发 展 趋势 ,IPS 技术 在 IDS 监测 的 功 
能 上 又 增加 了 主动 响应 的 功能 ,一 旦 发 现 有 攻击 行为 ,立即 响应 ,主动 切断 连接 。 

提 到 IPS, 人 们 常常 会 谈 到 一 个 公式 ,IPS=Firewall 十 IDS。 也 有 文献 认为 ,将 IDS 的 传 
感 器 置 于 网 络 通信 线路 之 内 (In-line), 让 所 有 网 络 通信 量 必 须 通过 它 ,就 得 到 了 一 台 IPS。 
这 两 种 看 法 均 有 偏颇 之 处 ,但 是 , 却 殊途同归 地 道 出 了 一 个 事实 一 一 IPS 来自 IDS。 概 括 地 
讲 ,IPS 与 IDS 的 区 别 如 下 。 

(1) 部 署 位 置 不 同 。IPS 部 署 在 链 路 上 ,对 于 来 自 外 部 的 威胁 ,例如 蠕虫 传播 .木马 、 
黑客 攻击 等 ,IPS 直接 阻 断 , 不 让 它 进入 客户 网 络 。 对 于 来 自 内 部 的 威胁 ,例如 蠕虫 传播 、 
黑客 攻击 等 ,IPS 阻 断 攻击 ,保护 服务 器 。 而 IDS 则 是 部 署 在 需要 进行 特殊 保护 的 分 支 网 
络 中 。 

(2) 检测 方式 不 同 。IDS 采用 被 动 侦 听 方式 ,所 以 响应 能 力 很 有 限 , 如 发 送 TCP Reset 
包 终 止 会 话 时 往往 可 能 已 经 为 时 太 晚 。IPS 采用 了 多 种 检测 技术 ,特征 检测 可 以 准确 检测 
已 知 的 攻击 。IPS 将 检查 入 网 的 数据 包 , 确 定 这 种 数据 包 的 真正 用 途 , 然 后 决定 是 否 允 许 这 
种 数据 包 进 入 内 部 网 络 。 

(3) 处 理 攻击 的 方式 不 同 。IDS 只 能 报警 而 不 能 有 效 采 取 阻 断 措施 的 设计 理念 ,也 不 
能 满足 用 户 对 网 络 安全 日 益 增长 的 需求 。 充 其 量 ,IDS 只 能 与 防火 墙 联动 的 方式 来 解决 部 
分 网 络 攻击 。IPS 的 拦截 行为 与 其 分 析 行为 处 在 同一 层次 ,能 够 更 敏锐 地 捕捉 入 侵 的 流量 ， 
并 能 将 危害 切断 在 发 生 之 前 ,这 种 主动 防御 的 响应 能 力 正 是 网 络 安全 真正 需要 的 。 
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12.3 配置 安全 设备 


网 络 是 否 安全 ,在 很 大 程度 上 取决 于 安全 设备 的 配置 ,只 有 将 安全 设备 配置 得 足够 安 
全 ,才能 使 其 更 好 地 为 网 络 服务 ,使 网 络 不 会 被 外 部 计算 机 入 侵 ,进而 保障 网 络 的 稳定 。 


12.3.1 Cisco ASA 连接 策略 


Cisco ASA 的 功能 非常 丰富 ,不 仅 是 一 台 网 络 防火 墙 , 还 是 一 台 入 侵 检测 设备 、 一 台 和 人 
侵 防御 设备 ,一 台 VPN 设备 ,甚至 一 台 路 由 器 。 因 此 ,Cisco ASA 的 应 用 领域 非常 广泛 ,可 
以 部 署 于 网 络 中 的 每 个 位 置 。 

实现 与 Internet 的 安全 连接 ,是 Cisco ASA 最 基本 和 最 典型 的 应 用 ,可 以 为 网 络 内 部 客 
户 提供 安全 的 网 络 连接 (如 图 12-16 所 示 )。 当 然 ,在 Cisco ASA 之 后 ,还 可 以 再 加 一 台 交 换 


机 ,以 实现 多 用 户 的 网 络 接 入 。 
< 人 


Cisco ASA 


私有 网 络 


图 12-16 安全 Internet 连接 


同时 ,Cisco ASA 还 支持 虚拟 防火 墙 技 术 , 因 此 ,一 台 普 通 的 Cisco ASA 5500 系列 产 
品 ,就 可 以 作为 至 少 两 台 网 络 防火 墙 使 用 ,实现 双 Internet 链 路 的 负载 均衡 (如 图 12-17 所 
示 )。 真 可 谓 一 分 投入 , 双 倍 收益 。 


图 12-17 虚拟 网 络 防火 墙 
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借助 Cisco ASA 提供 的 DMZ 区 域 ,还 可 以 安全 地 发 布 网 络 服务 器 (如 图 12-18 所 示 )， 
从 而 使 服务 器 发 布 和 内 部 网 络 安全 得 到 了 很 好 的 平衡 。 

Cisco ASA 还 是 一 款 性 能 非常 强劲 的 VPN 服务 器 ,支持 SSL VPN 和 IPSec VPN， 
此 ,可 以 为 远程 用 户 提供 安全 廉价、 高 速 的 访问 服务 (如 图 12-19 所 示 ) ,无 论 何 时 何 地 ,都 
可 以 安全 地 访问 内 部 网 络 中 的 资源 。 


外 部 网 络 


IPSec VPN 


对 外 发 布 Cisco ASA 
服务 器 


内 部 网 络 远程 用 户 


图 12-18 发 布 网 络 服务 器 图 12-19 ”VPN 远程 安全 访问 


当然 ,由 于 Cisco ASA 性 能 强劲 ,因此 ,用 于 实现 部 门 与 分 支 机 构 之 间 的 VPN 连接 也 
不 成 问题 (如 图 12-20 所 示 ) ,从 而 借助 Internet 的 廉价 链 路 ,达成 机 构 内 部 之 间 的 安全 通信 
与 数据 交换 。 


1SP 路 由 器 


12-20 站 点 VPN 


总 之 ,Cisco ASA 最 常见 的 应 用 非常 丰富 (如 图 12-21 所 示 ), 既 可 以 提供 移动 用 户 的 远 
程 VPN 安全 接 入 ,又 可 以 与 远程 网 络 的 VPN 连接 ,还 可 以 实现 内 部 网 络 的 安全 Internet 
接 入 ,以 及 服务 器 的 安全 发 布 。 


12.3.2 Cisco ASDM 初始 化 


1. 安装 前 的 准备 
在 开始 运行 Startup Wizard( 启 动向 导 ) 之 前 ,首先 需要 执行 以 下 操作 。 
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移动 客户 端 分 支 机 构 
远程 VPN 连 接 远程 VPN 站 点 


专 < > 


Cisco ASA 


对 外 发 布 
服务 器 


> 


内 部 网 络 DMZ 区 


图 12-21 Cisco ASA 典型 应 用 


(1) 获得 一 个 DES 许可 证 或 3DES-AES 许可 证 。 

提示 : 运行 ASDM ,必须 拥 有 自 适 应 安全 设备 的 DES 许可 证 或 3DES-AES 许可 证 。 

(2) 在 Web 浏览 器 启用 Java and JavaScript。 

(3) 搜集 下 列 信息 。 

Qa 在 网 络 中 能 够 识别 自 适应 安全 设备 的 主机 名 。 

@ 外 部 接口 .内 部 接口 和 其 他 接口 的 IP 地 址 信息 。 

@ 用 于 NAT 或 PAT 配 置 的 IP 地 址 信息 。 

@ DHCP 服务 器 的 IP 地 址 范围 。 

2. 使 用 Startup Wizard 

ASDM 使 用 Startup Wizard 简单 地 初始 化 自 适 应 安全 设备 ,启动 向 导 可 以 启用 自 适应 
安全 设备 ,实现 数据 在 内 部 接口 (GigabitEthernet0/1) 和 外 部 接口 (GigabitEthernet0/0) 的 
安全 传输 。 

(1) 如 果 是 ASA 5520 或 ASA 5540, 使 用 跳 线 将 入 口 GigabitEthernet0/1 连接 到 交换 
机 或 其 他 集 线 设 备 。 如 果 是 ASA 5510, 使 用 跳 线 将 入 口 Ethernet 1 连接 到 交换 机 或 其 他 
集 线 设 备 。 然 后 ,在 同一 台 交 换 机 上 连接 管理 用 计算 机 ,实现 对 自 适 应 安全 设备 的 配置 。 

(2) 配置 计算 机 使 用 DHCP 方式 ,将 自动 从 自 适应 安全 设备 获得 IP 地 址 信息 。 也 可 以 
为 计算 机 指定 静态 IP 地 址 信息 ,其 取 值 范围 为 192. 168. 1. 2 ~ 192. 168. 1. 254 , 子 网 掩 码 
为 255. 255. 255. 0, 默 认 网 关 为 192. 168. 1. 1。 

提示 : 自 适应 安全 设备 的 内 部 接口 默认 被 指定 为 192. 168. 1. 1 。 

(3) 如 果 是 ASA 5520 或 ASA 5540, 检 查 GigabitEthernet0/1 接口 的 LINK LED 指示 
灯 。 如 果 是 ASA 5510, 则 检查 Ethernet 1 接口 的 LINK LED 指示 灯 。 当 连接 正常 时 ,相应 
接口 的 LINK LED 指示 灯 应 当 呈 绿色 。 

(4) 运行 Startup Wizard 启动 向 导 。 在 配置 计算 机 上 运行 Web 浏览 器 ,在 地 址 栏 中 输 
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人 “https://192.168. 1.1/”, 并 按 Enter 键 。 

(5) 在 相应 文本 框 中 输入 用 户 名 和 密码 。 需 要 注意 的 是 ,默认 密码 为 空 。 因 此 ,可 以 直 
接 按 Enter 键 进入 。 

(6) 单 击 Yes 按钮 ,同意 安装 数字 证 书 , 并 在 随后 的 所 有 确认 对 话 框 中 全 部 单 击 Yes 按 
钮 即 可 。 

(7) ADSM 启动 。 从 ASDM 窗口 顶端 的 Wizards 菜单 中 ,选择 Startup Wizard 选项 。 

(8) 根据 启动 向 导 中 的 提示 ,设置 自 适应 安全 设备 即 可 。 


12.3.3 网 络 设备 集成 化 管理 


对 于 Cisco AIP-SSM 的 全 面 管理 服务 。 

(1) 为 管理 可 实现 多 种 防御 服务 的 Cisco AIP-SSM ,提供 平稳 的 集成 和 支持 。 

(2) 通过 使 用 威胁 识别 和 准确 防御 技术 ,可 实现 迅速 配置 .准确 攻击 监控 和 网 络 威胁 防 
御 功 能 ,使 企业 网 络 免 遭 蠕虫 .间谍 软件 和 其 他 恶意 软件 的 影响 ,而 且 也 不 会 存在 丢弃 合法 
流量 的 风险 。 

虚拟 化 安全 服务 的 世界 级 管理 。 

(1) 可 在 单一 Cisco ASA 5500 系列 自 适应 安全 设备 或 Cisco PIX 安全 设备 中 迅速 创建 
多 个 安全 环境 (虚拟 防火 墙 ) ,每 个 环境 有 自己 的 一 套 安 全 策略 ,逻辑 接口 和 管理 域 。 

(2) 使 企业 能 方便 地 将 多 个 防火 墙 整合 到 一 个 安全 设备 或 故障 恢复 对 中 , 且 能 分 别管 
理 每 个 虚拟 环境 。 

(3) 使 服务 供应 商 可 以 通过 宛 余 设备 ,提供 永 续 的 多 租户 防火 墙 服务 。 


12.3.4 安全 策略 设置 


在 安全 策略 设置 上 ,通常 包括 以 下 几 种 设置 。 

(1) 内 到 外 全 部 允许 ,外 到 内 全 部 拒绝 。 

(2) 内 到 外 和 外 到 内 都 要 做 ACL 控制 .映射 .NAT。 

(3) 设置 IPSec.L2TP、SSL VPN。 

当今 的 安全 威胁 需要 用 新 的 方法 消除 ,要 实现 全 面 的 应 用 安全 性 ,需要 提高 对 整个 网 络 
中 的 应 用 的 敏感 性 ,而 不 是 用 一 种 方法 保护 网 络 中 的 所 有 应 用 。 每 种 应 用 都 需要 一 组 通用 
服务 ,以 及 其 他 应 用 专用 检测 服务 。 这 些 应 用 检测 服务 必须 满足 当今 网 络 的 性 能 和 服务 要 
求 。 所 有 要 求 都 必须 与 清晰 、 全 面 的 架构 密切 相连 ,以 便 灵 活 地 部 署 和 实施 应 用 安全 策略 。 
Cisco ASA 5500 系列 自 适应 安全 设备 不 但 能 提供 新 型 应 用 保护 方法 ,还 能 保护 关键 业务 应 
用 的 可 用 性 和 完整 性 。 

Cisco ASA 5500 系列 通过 自 适应 识别 和 防御 架构 ,进一步 提高 了 网 络 的 安全 性 和 策略 
控制 。 利 用 遍及 所 有 主要 网 络 协议 的 应 用 安全 检测 引擎 ,Cisco ASA 5500 系列 允许 部 署 全 
面 的 应 用 安全 策略 。 每 种 检测 引擎 都 监控 应 用 流 ,并 能 够 标示 和 阻止 针对 特定 协议 的 非法 
操作 。 图 12-22 所 示 为 安全 策略 的 设置 。 


12.3.5 配置 DMZ 
DMZ 网 络 拓扑 结构 (如 图 12-23 所 示 ) 具 有 以 下 特征 。 
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We 可 回国 [EE 
图 12-22 安全 策略 

(1) Web 服务 器 连接 至 安全 设备 的 DMZ 接口 。 

(2) HTTP 客户 端 位 于 私有 网 络 ,可 以 访问 位 于 DMZ 中 的 Web 服务 器 ,并 且 可 以 访问 
Internet 中 的 设备 。 

(3) Internet 中 的 HTTP 客户 端 允许 访问 DMZ 区 的 Web 服务 器 , 除 此 之 外 的 其 他 所 
有 的 通信 都 被 禁止 。 

(4) 网 络 有 两 个 可 路 由 的 IP 地 址 可 以 被 公开 访问 : 安全 设备 外 部 端口 的 IP 地 址 为 
209. 165. 200. 225,DMZ 中 Web 服务 器 的 公开 IP 地 址 为 209. 165. 200. 226 。 


HTTP 客 户 端 一 
SNs 
AV 


图 12-23 DMZ 网络 拓扑 结构 


1. 运行 ASDM 

(1) 打开 Web 浏览 器 ,在 地 址 栏 中 输入 欲 配置 和 管理 的 安全 设备 的 IP 地 址 https:// 
211. 82. 216. 166, 显 示 如 图 12-24 所 示 的 Cisco ASDM 6.0 对 话 框 。 

(2) 单 击 Run ASDM 按钮 ,显示 如 图 12-25 所 示 的 Cisco ASDM 程序 的 登录 窗口 。 根 
据 实际 情况 ,输入 配置 和 管理 的 安全 设备 的 IP 地 址 .用 户 名 和 密码 。 
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已 ,Cisco ASDN Loncher = Ws 
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图 12-24 Cisco ASDM 6.0 对 话 框 图 12-25 Cisco ASDM 登录 窗口 


(3) 单 击 OK 按钮 ,显示 如 图 12-26 所 示 的 Cisco ASDM 主 窗口 。 


机 区 四 
cisco 


12-26 ”Cisco ASDM 主 窗口 


2. 为 NAT 创建 IP 地 址 池 

安全 设备 使 用 网 络 地 址 转换 和 端口 地 址 转换 ,防止 内 部 IP 地 址 暴露 在 外 部 网 络 或 
Internet。 这 里 介绍 如 何 为 DMZ 接口 和 外 部 接口 创建 一 个 可 以 被 转换 的 IP 地 址 池 。 

提示 : 一 个 IP 地 址 池 可 以 同时 包含 NAT 条目 和 PAT 条 目 , 也 可 以 包含 1 个 以 上 接口 
的 条 目 。 

(1) 在 ASDM 窗口 工具 栏 , 单 击 Configuration 图 标 ,在 左 侧 栏 中 单 击 Firewall 选项 中 
的 NAT Rules 规则 ,显示 如 图 12-27 所 示 界 面 。 

(2) 在 右 侧 栏 中 选择 Global Pools 选项 卡 , 单 击 Add 按钮 ,显示 如 图 12-28 所 示 的 Add 
Global Address Pool 对 话 框 ,为 DMZ 接口 创建 一 个 新 的 全 局 地 址 池 。 
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图 12-27 NAT Rules 规则 


(3) 从 Interfaces 下 拉 列 表 框 中 ,选择 DMZ 选项 ,在 Pool ID 文本 框 中 输入 新 创建 地 址 
池 的 ID 号 ,如 1。 

(4) 在 IP Addresses to Add 区 域 ,指定 DMZ 接口 使 用 的 IP 地 址 范围 。 

(5) 单 击 Add 按钮 ,将 该 IP 地 址 范围 添加 至 地 址 池 。 

(6) 单 击 OK 按钮 ,返回 至 NAT Rules 窗口 。 

3. 为 外 部 端口 指定 IP 地 址 池 

为 外 部 端口 指定 人 P 地 址 被 用 于 转换 私有 人 P 地 址 ,从 而 实现 内 部 客户 端 对 Internet 的 安全 
访问 。 借 助 PAT 技术 ,可 以 使 用 同一 合法 全 地 址 将 内 部 不 同 的 服务 器 发 布 至 Internet。 

(1) 在 NAT Configuration 窗口 右 侧 选择 Global Pools 选项 卡 , 单 击 Add 按钮 ,显示 如 
图 12-29 所 示 的 Add Global Address Pool 对 话 框 。 
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图 12-28 Add Global Address Pool 对 话 框 12-29 Add Global Address Pool 对 话 框 


(2) 在 Interface 下 拉 列 表 框 中 ,选择 outside 选项 ,为 外 部 接口 指定 地 址 池 ID 号 ,例如 
2。 可 以 将 这 些 地 址 添加 到 与 DMZ 接口 相同 的 IP 地 址 池 。 

(3) 选中 Port Address Translation (PAT) using IP Address of the interface 单 选 按 
钮 , 单 击 Add 按钮 ,将 该 地 址 添加 至 IP 地 址 池 。 

(4) 单 击 OK 按钮 ,返回 Cisco ASDM 配置 窗口 。 确 认 配 置 无 误 后 ,在 ASDM 主 窗口 
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中 , 单 击 Apply 按钮 即 可 。 

4. 配置 内 部 客户 端 访问 DMZ 区 的 Web 服务 器 

在 上 述 配 置 中 ,为 内 部 客户 端 设 置 了 安全 的 私有 IP 地 址 池 , 还 需要 配置 一 条 NAT 规 
则 ,用 于 实现 内 部 客户 端 对 DMZ 区 域 中 Web 服务 器 的 安全 访问 。 

(1) 在 ASDM 主 窗口 工具 栏 中 , 单 击 Configuration 图 标 ,在 左 侧 栏 中 单 击 NAT Rules 
按钮 ,显示 NAT Rules 规则 对 话 框 。 在 Add 下 拉 列 表 框 中 选择 Add Dynamic NAT Rule 
选项 ,显示 如 图 12-30 所 示 的 Add Dynamic NAT Rule 对 话 框 。 

(2) 在 Real Address 区 域 ,指定 被 转换 的 IP 地 址 。 从 Interface 下 拉 列 表 框 中 ,选择 
inside 接口 ,在 IP address 文本 框 中 ,输入 内 部 客户 端 使 用 的 IP 网 络 号 。 

(3) 在 Dynamic Translation 区 域 ,指定 转换 的 目的 IP 地 址 。 从 Interface 下 拉 列 表 框 
中 ,选择 DMZ 接口 ,指定 该 地 址 池 使 用 动态 NAT 规则 。 选 中 Select 复 选 框 , 选 择 全 局 地 址 
池 ID。 

提示 : 如 果 欲 添加 的 地 址 池 不 存在 ,可 以 单 击 Add 按钮 创建 新 的 IP 地 址 池 。 

(4) 单 击 OK 按钮 ,添加 动态 NAT 规则 ,并 返回 至 NAT 窗口 。ASDM 将 添加 两 条 规 
则 ,因为 同一 IP 地 址 池 同 时 被 转换 使 用 。 

5. 配置 内 部 客户 端 访 问 Internet 

在 上 述 配置 中 ,借助 NAT 规则 ,可 以 实现 内 部 客户 端 对 DMZ 区 中 Web 服务 器 的 访 
问 。 当 然 , 借 助 NAT 规则 也 应 当 能 够 实现 内 部 客户 端 对 Internet 的 访问 。 不 过 ,管理 员 无 
须 再 创建 任何 规则 ,因为 IP 地 址 池 包 括 了 两 种 需要 转换 的 地 址 , 即 DMZ 接口 使 用 的 IP 地 
址 和 外 部 接口 使 用 的 IP 地 址 。 

6. 为 Web 服务 器 配置 外 部 ID 

DMZ 中 的 Web 服务 器 需要 为 Internet 中 所 有 的 主机 提供 访问 服务 。 该 配置 需要 将 
DMZ 中 的 Web 服务 器 的 私有 IP 地 址 转换 为 公有 IP 地 址 ,允许 外 部 HTTP 客户 端 实现 对 
Web 服务 的 访问 。 

(1) 在 ASDM 主 窗口 工具 栏 中 , 单 击 Configuration 图 标 。 在 左 侧 栏 中 单 击 Firewall 选 
项 中 的 NAT Rules 按钮 ,从 Add 下 拉 列 表 框 中 ,选择 Add Static NAT Rule 选项 ,显示 如 
图 12-31 所 示 的 Add Static NAT Rule 对 话 框 。 
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图 12-30 Add Dynamic NAT Rule 对 话 框 12-31 Add Static NAT Rule 对 话 框 
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(2) 从 Interface 下 拉 列 表 框 中 ,选择 DMZ 接口 ,在 IP Address 文本 框 中 ,输入 DMZ 区 
Web 服务 器 的 IP 地 址 。 

(3) 在 Static Translation 区 域 ,指定 Web 服务 器 使 用 的 公有 IP 地 址 。 从 Interface 下 
拉 列 表 框 中 ,选择 outside 选项 ,从 IP Address 下 拉 列 表 框 中 ,选择 DMZ 区 Web 服务 器 使 
用 的 公有 IP 地 址 。 

(4) 单 击 OK 按钮 ,添加 规则 并 返回 Address Translation Rules 列表 。 

(5) 单 击 Apply 按钮 ,保存 安全 配置 的 修改 。 

7. 允许 Internet 用 户 访问 DMZ 的 Web 服务 

默认 情况 下 ,安全 设备 禁止 来 自 公 共 网 络 的 所 有 通信 。 因 此 ,必须 创建 一 个 安全 规则 ， 
允许 来 自 Internet 用 户 对 DMZ 区 中 Web 服务 器 的 访问 , 即 允 许 来 源 于 Internet 任意 用 户 
的 针对 DMZ 中 Web 服务 器 的 流入 和 流出 的 HTTP 通信 。 

(1) 在 ASDM 主 窗口 工具 栏 中 , 单 击 Configuration 图 标 。 在 左 侧 栏 中 单 击 Security 
Policy 按钮 ,从 Add 下 拉 列 表 框 中 ,选择 Add Access Rule 选项 ,显示 如 图 12-32 所 示 的 
Add Access Rule 对 话 框 。 

(2) 在 Interface 下 拉 列 表 框 中 ,选择 outside 选项 ,在 Action 单 选 项 中 ,选中 Permit 单 
选 按钮 。 

(3) 在 Source 区 域 , 设 置 允许 发 起 访问 的 源 IP 地 址 ,显示 如 图 12-33 所 示 的 Browse 
Source 对 话 框 。 
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图 12-32 Add Access Rule 对 话 框 12-33 ”Browse Source 对 话 框 


(4) 在 Destination 区 域 设置 允许 访问 的 目的 IP 地 址 ,显示 如 图 12-34 所 示 的 Browse 
Destination 对 话 框 。 

(5) 在 Service 选项 中 ,指定 IP 地址 ,显示 如 图 12-35 所 示 的 Browse Service 对 话 框 。 

(6) 在 Description 文本 框 中 ,设置 DMZ 描述 信息 。 

(7) 单 击 More Options 选项 ,显示 如 图 12-36 所 示 的 Add Access Rule 对 话 框 。 
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(8) 单 击 Source Service 选项 ,显示 如 图 12-37 所 示 的 Browse Source Service 对 话 框 ， 
添加 TCP 或 UDP 服务 。 有 具体 内 容 参 见 相关 内 容 , 这 里 不 再 赣 述 。 
(9) 确认 无 误 后 , 单 击 OK 按钮 ,返回 Cisco ASDM 主页 面 ,确认 配置 信息 是 否 正确 。 


然后 , 单 击 Apply 按钮 保存 配置 。 此 时 ,私有 网 络 和 Internet 中 的 所 有 客户 端 ,都 将 可 以 访 
问 DMZ 区 中 的 Web 服务 。 


12.3.6 管理 安全 设备 


使 用 Cisco 自 适 应 安全 设备 管理 器 管理 安全 设备 ,可 以 通过 Web 图 形 界面 监视 设备 的 
运行 状态 、 查 看 和 分 析 网 络 流量 、 查 看 和 分 析 系 统 日 志和 安全 监控 工具 ,使 管理 员 能 够 更 好 


人 


se 


retocel Sooo Ports Dartination Ports HOWF Type Boreription 


tol (e555) S190 
ful -e555) 179 
funlt (1-65535) 19 
aefonlt -6555) 3000 
efunlt (1-65535) 1494 
folt 0-65555) 2149 
fonlt -6555) 13 
asfealt (e555) 9 
efonlt (01-05535) 
flt 0-0555) 了 
nfonlt (1-6555) SI 
nolt 0-0555) 79 
nfonlt 01-65575) 对 
ntoelt 0-65555) 20 
nfonlt 01-6555) TO 
nfonlt 0-05535) 1720 
nfonlt (0-65535) 101 
nfonlt 0-65555) 50 
nfonlt (1-6555) 443 
nfoals 0-0555) 113 


图 12-37 Browse Source Service 对 话 框 


地 管理 安全 设备 。 

1. 监视 安全 设备 运行 状态 

利用 Cisco ASDM 登录 到 Cisco ASA 主 界面 (如 图 12-38 所 示 ), 在 Device Dashboard 
选项 卡 中 显示 了 设备 仪表 板 的 信息 。 显 示 设 备 信息 (名 称 、 版 本 、 型 号 等 ). 系 统 资源 运行 状 
态 (CPU 和 Memory) 接口 状态 和 信息 传输 状态 。 


12-38 Cisco ASA 主 界面 


2. 查看 和 分 析 网 络 流量 

(1) 在 Cisco ASA 主 界面 中 , 单 击 Monitoring 按钮 ,监视 设备 的 接口 信息 ,如 图 12-39 
所 示 。 

(2) 在 左 侧 Interfaces 列表 栏 中 选择 Interfaces Graphs 选项 ,可 以 查看 内 部 或 外 部 的 接 
口 图 表 , 如 图 12-40 所 示 。 


图 12-40 ”Interfaces Graphs 对 话 框 


(3) 以 inside 为 例 ,在 Graph Selection 对 话 框 中 显示 图 形 所 选 内 容 ,在 Available 
Graphs 列表 框 中 ,选择 可 用 图 形 并 添加 到 选 定 的 图 形 Selected Graphs 列表 框 中 ,如 图 12-41 
所 示 。 

(4) 单 击 Show Graphs 按钮 ,以 图 例 形式 显示 网 络 的 流量 ,如 图 12-42 所 示 。 

3. 查看 和 分 析 系 统 日 志 

(1) Cisco ASA 主页 左 侧 栏 中 , 单 击 Logging 选项 ,显示 如 图 12-43 所 示 的 Real-Time 
Log Viewer 对 话 框 , 在 Logging Level 列表 框 中 ,选择 日 志 记 录 级 别 。 在 Buffer Limit 文本 
框 中 ,输入 缓冲 区 限制 ,一般 为 默认 值 即 可 。 

(2) 单 击 View 按钮 ,系统 日 志 以 视图 方式 显示 ,如 图 12-44 所 示 。 
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图 12-41 Graph Selection 对 话 框 
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图 12-42 网络 流量 
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图 12-43 Real-Time Log Viewer 对 话 框 
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4. 安全 监控 工具 

Cisco ASDM 提供 了 大 量 监控 和 报告 工具 ,从 而 使 得 安全 设备 的 监控 和 管理 变 得 更 加 
直观 和 简 # 

(1) 监控 工具 se HM WU for Kh HR Crh 0 辐 回 双 

Cisco ASDM 6. 0 提供 了 深入 的 监控 和 报导 snes | 
告 服务 , 以 及 概览 监控 功能 (如 图 12-45 所 
示 )。 灵 活 的 分 析 工 具 能 够 创建 图 形 化 总 结 报 
告 ,显示 了 实时 使 用 率 、 安 全 事件 和 网 络 活动 
每 个 图 形 化 报告 中 的 数据 都 能 以 定制 增 量 由 
形式 提供 ,用 户 可 选择 10s 快照 或 更 长 时 间 间 
隔 的 分 析 。 同 时 ,浏览 多 个 图 的 能 力 使 用 户 可 
并 行 执行 具体 评估 。 各 图 形 能 方便 地 标记 ,并 
输出 数据 以 便 查看 。 

(2) 系统 图 

提供 Cisco ASA 5500 系列 自 适应 安全 设 
备 和 Cisco PIX 安全 设备 的 具体 状 \, 包 
括 所 用 区 块 和 空闲 区 块 、 当 前 内 存 利用 率 和 |ww ates sw mr 0 
CPU 利用 率 。 

(3) 连接 图 

在 每 秒 基础 上 ,跟踪 实时 进程 和 连接 性 能 监控 数据 ,地址 转换 、 验 证 ,授权 和 记 账 
(AAA) 事 务 处 理 `URL 过 滤 请 求 等 。 连 接 图 使 管理 员 可 全 面 了 解 其 网 络 连接 和 活动 , 且 不 
会 被 过 多 信息 所 浴 没 。 


图 12-45 监控 窗口 
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(4) 攻击 保护 系统 图 

由 16 种 不 同 的 图 形 来 显示 潜在 的 恶意 活动 ,例如 ,攻击 特征 信息 显示 IP、 互 联网 控制 
信息 协议 (ICMP) ,用户 数据 包 协 议 (UDP) 、TCP 攻击 和 Portmap 请 求 等 活动 。 这 些 图 形 详 
细 显 示 了 攻击 者 列表 、 事 件 列表 、 系 统统 计数 据 和 对 于 Cisco AIP-SSM 的 诊断 。 

(5) 接口 图 

提供 对 安全 设备 上 每 个 接口 的 带宽 使 用 率 的 实时 监控 。 显 示 内 外 通信 的 带宽 使 用 率 。 
用 户 可 浏览 分 组 速率 ,数目 和 错误 ,以 及 位 、 字 节 和 冲突 数 等 。 

(6) VPN 统计 和 连接 图 

通过 支持 Cisco IPSec 流量 监控 MIB, 提 供 对 VPN 连接 的 全 面 显示 ,每 个 隧道 的 具体 
统计 数据 ,包括 隧道 正常 运行 时 间 和 所 传输 的 字 节 /分 组 数 。 


习题 


. 企业 网 络 中 常用 的 安全 设备 有 哪些 ? 主要 应 用 在 网 络 中 的 哪些 位 置 ? 
. 简 述 IPS 的 主要 功能 。 

. 简 述 Cisco ASA 系列 产品 的 功能 特点 。 

. 什么 是 DMZ? 如 何 通过 Cisco ASA 防火 墙 配置 DMZ? 


实验 : 设计 安全 企业 网 络 


实验 目的 : 

掌握 常用 安全 网 络 设备 的 部 署 与 应 用 。 

实验 内 容 : 

设计 一 个 简单 的 企业 网 络 , 分 别 将 网 络 防火 墙 IPS、IDS 等 设备 应 用 到 网 络 中 的 不 同 
位 置 。 

实验 步骤 : 

(1) 设计 网 络 环境 ,绘制 简单 的 网 络 拓扑 图 。 

(2) 按照 网 络 拓扑 图 连接 网 络 设备 。 

(3) 为 网 络 设备 分 配 IP 地 址 ,并 通过 客户 端 测试 彼此 之 间 的 连通 性 。 

(4) 通过 客户 端 观察 网 络 设备 的 运行 状况 。 

(5) 调 阅 网 络 设备 运行 日 志 并 进行 分 析 。 
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配置 网 络 可 靠 性 


可 靠 性 是 衡量 网 络 安全 性 的 重要 指标 之 一 ,网 络 的 可 靠 性 则 主要 通过 网 卡 和 网 络 设备 
的 宛 余 实现 , 当 网 卡 或 网 络 设备 出 现 故障 时 ,自动 启用 宛 余 设 备 , 以 保证 网 络 服务 的 正常 提 
供 。 此 外 , 宛 余 网 卡 或 设备 还 可 以 起 到 负载 平衡 的 作用 , 当 设备 处 于 超 负荷 工作 状态 时 , 宛 
余 设备 可 以 自动 分 配 相 应 的 负载 ,从 而 提高 网 络 传输 速率 和 效率 。 


13.1 网 络 可 靠 性 规划 


可 靠 性 是 网 络 规划 设计 与 性 能 评价 的 重要 指标 。 计 算 机 网 络 的 可 靠 性 一 般 包 括 网 络 的 
生存 性 、 抗 毁 性 及 有 效 性 等 多 个 方面 ,涉及 网 络 通信 设备 .拓扑 结构 .通信 协议 等 多 方面 因 
素 。 实 际 应 用 中 ,应 根据 计算 机 网 络 的 主要 功能 应 用 ,做 好 关键 环节 的 设备 宛 余 和 数据 备 
份 ,从 而 确保 网 络 的 可 靠 性 和 稳定 性 。 


13.1.1 案例 情景 


该 企业 网 络 属 中 小 型 企业 网 络 ,一 般 情况 下 对 网 络 可 靠 性 要 求 并 不 高 , 随 着 企业 的 发 
展 , 网 络 可 靠 性 的 重要 程度 日 益 显 现 。 办 公 区 网 络 不 仅 要 求 随时 连接 到 主干 网 络 ,访问 企业 
内 部 的 服务 器 资源 ,而 且 需 要 实时 连接 到 Internet。 

随 着 计算 机 网 络 应 用 的 不 断 深 入 ,企业 之 间 的 交流 ,企业 内 部 部 门 之 间 的 交流 ,都 是 通 
过 视频 会 议 系统 实现 的 。 视 频 会 议 系统 对 网 络 连接 的 可 靠 性 要 求 是 非常 高 的 ,短暂 的 网 络 
连接 中 断 ,可 能 会 给 企业 造成 无 法 估计 的 损失 。 


13.1.2 项 目 需求 


企业 网 络 的 可 靠 性 保障 措施 首先 要 保证 内 部 网 络 连接 的 可 靠 性 ,重要 部 门 在 访问 网 络 
中 心服 务 器 时 能 实现 路 由 宛 余 和 负载 均衡 ,跨越 交换 机 的 关键 子 网 之 间 互 访 时 也 应 可 以 实 
现 路 由 宛 余 , 从 而 保证 企业 内 关键 业务 的 不 间断 运行 。 


13.1.3 解决 方案 


用 户 可 以 通过 容错 和 元 余 的 方法 提高 网 络 的 可 靠 性 ,一 般 包 括 如 下 方面 。 
(1) 软件 容错 。 以 软件 为 主 的 容错 系统 一 般 由 两 套 设备 构成 ,其 中 一 台 作 为 主机 ; 另 
一 台 作 为 备份 机 。 当 主机 出 现 故 障 时 ,马上 将 工作 转 到 备份 机 。 例 如 基于 Windows 系统 的 
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负载 均衡 技术 。 

(2) 硬件 容错 。 硬 件 容 错 主 要 是 采取 元 余 技 术 , 用 加 大 投资 和 降低 速度 的 代价 来 换取 
可 靠 性 。 可 作 砚 余 设计 的 设备 很 多 ,从 CPU 网卡、 磁盘 控制 器 到 磁盘 存储 器 ,都 可 以 采用 
多 套 设备 并 存 的 方式 ,用 多 数 表决 技术 或 两 两 比较 技术 进行 容错 。 

(3) 数据 备份 。 数 据 备份 是 每 一 计算 机 网 络 管理 员 都 要 定期 进行 的 工作 ,所 谓 数据 备 
份 就 是 将 数据 从 服务 器 的 硬盘 中 复制 到 可 移动 介质 上 (如 磁带 ,大 容量 软盘 或 光盘 上 ) 并 将 
其 保存 到 更 安全 的 场所 的 过 程 。 

1. 软件 容错 

所 谓 软件 容错 ,就 是 指 通 过 软件 实现 网 络 应 用 的 元 余 或 容错 ,例如 ,基于 Windows 系统 
实现 的 群集 、 负 载 均 衡 等 技术 都 属于 软件 容错 的 范畴 。 

(1) 群集 

群集 技术 就 是 将 某 一 项 重要 的 网 络 应 用 分 担 到 不 同 的 服务 器 上 ,从 而 降低 每 一 台 服 务 
器 的 工作 强度 ,达到 提高 可 靠 性 的 目的 。 和 群集 技术 可 以 使 用 户 免 于 整个 系统 的 瘫痪 以 及 操 
作 系 统 和 应 用 层次 的 故障 。 一 台 服 务 器 集群 包含 多 台 拥 有 共享 数据 存储 空间 的 服务 器 ,各 
服务 器 之 间 通 过 内 部 局 域 网 进行 互相 连接 ; 当 其 中 一 台 服 务 器 发 生 故障 时 , 它 所 运行 的 应 
用 程序 将 与 之 相连 的 服务 器 自动 接管 ; 在 大 多 数 情况 下 ,集群 中 所 有 的 计算 机 都 拥有 一 个 
共同 的 名 称 , 集 群 系统 内 任意 一 台 服 务 器 都 可 被 所 有 的 网 络 用 户 所 使 用 。 

(2) 负载 均衡 

负载 均衡 (Load Balance) 是 建立 在 现 有 网 络 基础 结构 上 的 , 它 提供 了 一 种 廉价 有 效 透 
明 的 方法 扩展 网 络 设备 和 服务 器 的 带宽 ,增加 吞吐 量 、 加 强 网 络 数 据 处 理 能 力 、 提 高 网 络 的 
灵活 性 和 可 用 性 。 

负载 均衡 有 两 方面 的 含义 。 首 先 ,大 量 的 并 发 访问 或 数据 流量 分 担 到 多 台 节 点 设备 上 分 
别处 理 , 减 少 用 户 等 待 响应 的 时 间 ; 其 次 ,单个 重负 载 的 运算 分 担 到 多 台 节 点 设备 上 做 并 行 处 
理 , 每 个 节点 设备 处 理 结束 后 ,将 结果 汇总 ,返回 给 用 户 , 系 统 处 理 能 力 得 到 大 幅度 提高 。 

2. 硬件 容错 

网 络 可 靠 性 的 一 个 重要 的 组 成 部 分 就 是 网 络 设备 的 可 靠 性 问题 ,网 络 设备 的 可 靠 性 主 

(1) 交换 机 的 可 靠 性 

交换 机 是 网 络 中 的 交换 核心 ,对 网 络 可 靠 性 有 很 大 的 影响 。 因 此 ,在 选用 交换 机 时 要 注 
意 如 下 问题 。 

@ 交换 机 应 具有 较 强 的 微分 段 能 力 ,可 以 灵活 地 将 网 络 划分 成 较 小 的 冲突 域 , 并 在 各 
网 段 之 间 起 到 隔离 的 作用 ,以 提高 整个 系统 的 带宽 和 性 能 。 

@ 交换 机 应 具有 很 强 的 容错 特性 ,例如 带电 插 拔 . 电 源 备份 .电源 负载 自动 平分 、 链 路 
容错 .引擎 备份 等 ; 此 外 ,交换 机 还 应 提供 先进 的 网 络 诊断 工具 ,实现 对 交换 机 的 管理 和 错 
误诊 断 。 

@ 交换 机 应 具有 支持 构建 虚拟 网 的 能 力 。 虚 拟 网 技术 可 以 大 大 增加 网 络 的 灵活 性 和 
智能 性 ,改善 网 络 的 性 能 和 可 管理 性 。 

(2) 路 由 器 的 可 靠 性 

路 由 器 主要 是 通过 路 由 协议 工作 的 ,复杂 的 路 由 协议 会 过 多 消耗 路 由 器 的 硬件 资源 ,从 
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而 影响 网 络 的 可 靠 性 。 为 确保 路 由 器 的 可 靠 性 ,首先 应 删除 不 支持 和 不 必要 的 路 由 协议 , 建 
立 一 致 的 局 域 网 和 广域网 协议 。 其 次 ,在 条 件 允 许 的 情况 下 应 考虑 启用 路 由 元 余 技术 , 即 在 
企业 网 络 的 同一 位 置 ( 如 网 络 出 口 ) 部 署 两 台 完 全 系统 的 路 由 器 。 这 两 个 路 由 器 保持 相同 的 
配置 ; 连接 在 相同 网 络 上 的 端口 分 配 相同 的 IP 地址。 当主 路 由 器 正常 工作 时 ,由 于 次 路 由 
器 具有 相同 的 路 由 表 和 IP 地 址 ,因此 不 会 影响 网 络 正常 运行 ; 车 主 路 由 器 出 现 故障 ,次 路 
由 器 立即 能 自动 代 蔡 其 工作 。 

3. 数据 备份 

数据 是 网 络 应 用 的 根本 。 对 于 一 个 安全 性 要 求 较 高 的 企业 网 络 而 言 ,数据 备份 应 该 是 
网 络 管理 员 每 天 必须 完成 的 任务 。 备 份 数据 的 目的 就 是 为 了 应 对 不 时 之 需 , 一 旦 存储 设备 
故障 或 数据 遭 到 破坏 ,可 以 立即 应 用 备份 及 时 恢复 ,将 损失 减 到 最 小 。 数 据 备份 的 目标 主要 
包括 域 控制 器 .邮件 服务 器 、 企 业 网 站 等 。 

通常 情况 下 , Windows 系统 集成 的 备份 工具 就 可 以 帮助 管理 员 完 成 大 部 分 数据 的 备份 
工作 ,必要 时 用 户 也 可 以 选择 第 三 方 工具 实现 数据 备份 和 恢复 。 


13.2 服务 器 容错 


网 络 服务 器 是 计算 机 网 络 的 核心 设备 。 容 错 系统 是 服务 器 领域 的 重要 技术 之 一 。 容 错 
系统 一 般 有 两 种 , 即 因 有 热 备份 方案 而 允许 出 错 的 系统 ,和 对 出 错 非常 敏感 的 系统 。 企 业 网 
络 中 关键 部 门 的 服务 器 是 不 允许 停机 的 ,即使 是 在 计划 内 系统 管理 和 维护 时 也 不 例外 。 服 
务 器 容错 技术 的 出 现 保证 了 业务 系统 7X24 小 时 不 间断 运转 , 极 大 地 降低 了 企业 业务 在 各 
种 不 可 预料 灾难 发 生 时 的 损失 。 


13.2.1 配置 故障 转移 群集 


故障 转移 群集 是 Windows Server 2008 系统 为 用 户 提供 的 一 种 技术 手段 ,用 户 可 以 根 
据 实际 网 络 需求 实现 各 种 类 型 的 Windows 群集 ,例如 DFS 群集 、DNS 群集 、DHCP 群集 
等 。 此 处 以 DHCP 服务 器 群集 为 例 介绍 故障 转移 群集 的 配置 和 应 用 。 

1. 准备 工作 

故障 转移 群集 必须 满足 硬件 .软件 和 网 络 基础 结构 的 某 些 要 求 , 并 且 它 需要 一 个 具有 适 
当 域 权限 的 管理 员 账 户 。 

(1) 服务 器 : 建议 使 用 一 组 包含 相同 或 相似 组 件 的 匹配 计算 机 。 

(2) 网 卡 及 连接 : 网 卡 必须 能 够 被 系统 识别 且 通过 相关 认证 。 如 果 使 用 iSCSI, 则 应 将 
网 络 适配器 专用 于 网 络 通信 或 iSCSI, 而 不 能 同时 用 于 两 者 。 

(3) 系统 需求 : 故障 转移 群集 中 的 所 有 服务 器 必须 全 部 运行 Windows Server 2008 系 
统 的 同一 版 本 , 即 单个 故障 转移 群集 内 的 节点 不 能 运行 不 同 的 版 本 。 另 外 ,所 有 服务 器 应 具 
有 相同 的 软件 更 新 和 Service Pack。 

2. 安装 “DHCP 服务 器 ”角色 服务 

群集 设置 完成 后 ,每 台 节 点 服务 器 中 添加 “DHCP 服务 器 ”角色 ,在 “添加 角色 向 导 ” 安 
装 的 过 程 中 ,不 要 设置 DHCP 作用 域 ,如 图 13-1 所 示 。 具 体 安装 “DHCP 服务 器 ”角色 服务 
的 具体 操作 ,参见 相关 内 容 , 这 里 就 不 再 次 述 。 
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图 13-1 “添加 或 编辑 DHCP 作用 域 " 对 话 框 


3. 配置 DHCP 服务 器 群集 


@ 


Windows Server 2008 的 故障 转移 群集 中 ,应 用 程序 群集 是 通过 使 用 “高 可 用 性 向 导 ” 
来 完成 的 。 另 外 ,在 配置 DHCP 服务 器 群集 前 ,应 为 该 DHCP 服务 器 群集 规划 一 个 静态 的 


IP 地 址 和 DHCP 服务 器 群集 名 称 。 


(1) 在 “故障 转移 群集 管理 ”窗口 中 , 右 击 “ 服 务 和 应 用 程序 ”并 在 快捷 菜单 中 选择 “配置 


服务 或 应 用 程序 ”选项 ,显示 如 图 13-2 所 示 的 “开始 之 前 ”对 话 框 。 
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图 13-2 “开始 之 前 ”对 话 框 


(2) 单 击 “下 一 步 ?按钮 ,显示 如 图 13-3 所 示 的 “选择 服务 或 应 用 程序 ”对 话 框 。 在 “ 选 
择 要 配置 为 高 可 用 性 的 服务 或 应 用 程序 ”列表 中 ,选择 DHCP 服务 器 ?选项 。 需 要 注意 的 
是 ,当选 中 “DHCP 服务 器 ?选项 “下 一 步 ?按钮 并 不 会 立即 显示 为 可 用 状态 ,此 时 向 导 会 检 
查 故 障 转移 群集 的 相关 配置 , 当 检查 通过 后 该 按钮 才 会 显示 为 可 用 状态 。 

(3) 单 击 “ 下 一 步 "按钮 ,显示 如 图 13-4 所 示 的 “客户 端 访问 点 ”对 话 框 。 在 “名 称 ” 文 本 
框 中 ,输入 DHCP 服务 器 名 称 。 在 地址 ”文本 框 中 ,输入 客户 端 用 户 访 问 的 服务 器 IP 


地 址 。 


@。。 
422 “计算 机 网 络 朗 全 


EI 针 
各 选择 服务 或 应 用 程序 


图 13-3 “选择 服务 或 应 用 程序 "对 话 框 
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图 13-4 “客户 端 访问 点 "对话 框 


(4) 单 击 “下 一 步 按 钮 ,显示 如 图 13-5 所 示 的 “选择 存储 ”对 话 框 。 选 择 希望 分 配给 


ts [ESm > mA | 


图 13-5 “选择 存储 ?对话 框 


(5) 单 击 “下 一 步 ? 按 钮 ,显示 如 图 13-6 所 示 的 “确认 ”对 话 框 ,提示 已 准备 好 为 DHCP 
服务 器 配置 高 可 用 性 。 
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图 13-6 “确认 ”对 话 框 


(6) 单 击 “ 下 一 步 "按钮 ,开始 配置 DHCP 服务 器 群集 ,配置 完成 后 显示 如 图 13-7 所 示 
的 “摘要 ”对 话 框 。 如 果 想 要 查看 详细 的 配置 报告 ,可 以 单 击 “ 查 看 报告 ”按钮 进行 查看 。 
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图 13-7 “摘要 ”对 话 框 


(7) 单 击 “ 完 成 ”按钮 ,完成 DHCP 服务 器 角色 的 配置 。 配 置 完 成 的 DHCP 服务 器 角色 
如 图 13-8 所 示 。 

4. 配置 DHCP 作用 域 

在 DHCP 服务 器 中 ,通过 IP 作用 域 为 基本 管理 单位 向 客户 端 提供 IP 地 址 分 配 服 务 。 
管理 员 首 先 需 要 为 每 个 物理 子 网 创建 作用 域 ,然后 使 用 该 作用 域 定义 DHCP 客户 端 所 使 用 
的 参数 。 当 在 故障 转移 群集 中 配置 作用 域 时 ,并 不 在 DHCP 管理 器 窗口 来 完成 ,而 在 “故障 
转移 群集 管理 器 "窗口 中 来 完成 。 

(1) 打开 “故障 转移 群集 管理 ”窗口 ,在 左 侧 栏 中 依次 展开 “故障 转移 群集 管理 ”一 
coolpen. coolpen. net 一 “服务 和 应 用 程序 ”~Dhcp 选项 ,在 右 侧 “操作 ” 栏 中 , 单 击 “ 管 理 
DHCP” 按 钮 ,启动 “故障 转移 群集 管理 "DHCP 服务 器 管理 控制 台 ,如 图 13-9 所 示 。 默 认 情 
况 下 ,DHCP 服务 器 并 没有 得 到 授权 ,此 时 ,DHCP 服务 器 还 不 能 为 网 络 提 供 服务 。 

(2) 右 击 dhcp. coolpen. net, 在 快捷 菜单 中 选择 “授权 ”选项 。 依 次 展开 dhcp. coolpen. 
net>IPv4 选项 , 右 击 IPv4 并 在 快捷 菜单 中 选择 “新 建 作用 域 ” 选 项 ,显示 如 图 13-10 所 示 的 
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13-9 管理 DHCP 


“欢迎 使 用 新 建 作用 域 向 导 ” 对 话 框 。 
(3) 单 击 “下 一 步 ?按钮 ,显示 如 图 13-11 所 示 的 “作用 域名 称 ” 对 话 框 。 分 别 在 “名 称 ” 
和 “描述 ”文本 框 中 ,输入 新 建 作用 域 的 名 称 和 描述 信息 。 


区 凶 使用 亲 建 作用 二 和 时 StF. rnt te ci, 图 
TN a a 
大 要 维 续 ,请 单 击 “ 下 一 步 ”。 
EL [rrr 
括 寺 中) = 
ET un | 
图 13-10 “欢迎 使 用 新 建 作用 域 向 导 ” 对 话 框 图 13-11 “作用 域名 称 ” 对 话 框 


(4) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 13-12 所 示 
的 “IP 地 址 范围 ?对 话 框 。 分 别 在 “起 始 IP 地 址 ” 
和 “结束 IP 地 址 "文本 框 中 ,输入 DHCP 服务 器 提 
供 的 有 效 IP 地 址 段 。 在 “ 子 网 掩 码 ” 文 本 框 中 , 输 
入 该 了 地 址 的 子 网 掩 码 。 

(5) 单 击 * 下 一 步 ”按钮 ,显示 如 图 13-13 所 示 
的 “添加 排除 ”对 话 框 。 分 别 在 “起 始 IP 地 址 ”和 
“结束 IP 地 址 ”文本 框 中 ,输入 欲 排队 的 IP 地 址 
段 。 然 后 , 单 击 “ 添 加 ”按钮 ,将 其 添加 到 “排除 的 
地 址 范围 ?列表 中 。 
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图 13-12 “IP 地 址 范围 "对话 框 


(6) 单 击 * 下 一 步 " 按 钮 ,显示 如 图 13-14 所 示 的 “租用 期 限 " 对 话 框 。 根 据 实际 需要 , 设 


置 IP 地 址 的 租用 期 限 ,这 里 限制 时 间 为 5 天 。 
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图 13-13 “添加 排除 ”对 话 框 


图 13-14 “租用 期 限 ” 对 话 框 


(7) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 13-15 所 示 的 “配置 DHCP 选项 ”对 话 框 。 如 果 想 要 
继续 配置 网 关 参 数 ,可 以 选中 “是 ,我 想 现在 配置 这 些 选项 ” 单 选 按钮 。 这 里 选中 “ 否 ,我 想 稍 
后 配置 这 些 选项 ” 单 选 按钮 ,在 完成 向 导 后 再 进行 设置 。 

(8) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 13-16 所 示 的 “正在 完成 新 建 作用 域 向 导 ” 对 话 框 。 
提示 已 成 功 完成 了 新 作用 域 的 创建 ,在 客户 端 接受 地 址 前 ,还 需要 激活 作用 域 。 
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图 13-15 “配置 DHCP 选项 ”对 话 框 


图 13-16 


“正在 完成 新 建 作用 域 向 导 ” 对 话 框 
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(9) 单 击 “完成 "按钮 ,完成 新 作用 域 的 创建 ,如 图 13-17 所 示 。 
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图 13-17 完成 新 作用 域 的 创建 


(10) 右 击 新 建 的 作用 域 ,在 快捷 菜单 中 选择 “激活 ”选项 。 激 活 新 建 的 作用 域 ,如 
图 13-18 所 示 。 此 时 ,该 DHCP 服务 器 即 可 为 客户 端 计算 机 提供 IP 地 址 的 分 配 工作 。 


ELIT -oo 
所作 
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图 13-18 激活 作用 域 


5. DHCP 群集 测试 

群集 部 署 成 功 后 ,为 了 确认 服务 器 可 以 实现 故障 转移 ,可 以 模拟 当 某 台 群 集成 员 服 务 器 
发 生 故 障 时 ,其 他 成 员 服 务 器 可 以 继续 这 人 台 服 务 器 的 工作 。 上 有 具体 操作 步骤 如 下 。 

(1) 在 “故障 转移 群集 管理 ”窗口 中 ,依次 展开 “故障 转移 群集 管理 ”>coolpen. coolpen. 
net>“ 服 务 和 应 用 程序 ”一 Dhcp 选项 ,如 图 13-19 所 示 。 从 图 中 可 知 , 此 时 的 所 有 者 为 
files2 。 

(2) 将 files2 关机 或 断 开 网 络 .在 另 一 台 成 员 服务 器 上 ,启动 “故障 转移 群集 管理 ,再 次 
查看 当前 群集 的 所 有 者 ,可 发 现 此 时 的 所 有 者 为 files1 ,如 图 13-20 所 示 , 即 表示 群集 故障 自 
动 转移 成 功 。 
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图 13-20 成 功 转移 故障 


13.2.2 配置 负载 均衡 


网 络 负载 均衡 (CNLB) 可 以 让 客户 端 用 一 个 逻辑 Internet 名 称 和 虚拟 IP 地 址 (又 称 群集 
IP 地 址 ) 访 问 群 集 ,同时 保留 每 台 计 算 机 各 自 的 名 称 。 管 理 员 可 以 通过 Windows Server 
2008 中 的 网 络 负载 均衡 功能 .实现 Web 服务 器 、FTP 服务 器 、ISA 服务 器 等 关键 应 用 服务 
的 负载 均衡 ,从 而 提升 网 络 的 可 靠 性 。 

1. 准备 工作 

在 Windows Server 2008 系统 中 配置 NLB 之 前 ,必须 完成 必要 的 准备 工作 。 

(1) 设置 网 卡 属性 。 在 每 个 节点 采用 相同 的 方式 安装 和 配置 网 卡 。 通 常情 况 下 ,每 个 


节点 的 每 块 网 卡 的 所 有 属性 都 应 当 设置 为 相同 值 , 包 括 网 卡 传输 速度 模式 ` 流 控制 和 媒体 
类 型 等 。 


@。。 
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(2) 选择 网 络 协议 。 所 有 网 卡 都 必须 取消 对 NetBIOS over TCP/IP 选项 (位 于 WINS 
选项 卡 ) 的 选择 ,并 且 使 TCP/IP 协议 成 为 连接 专用 网 络 网 卡 的 唯一 网 络 协议 。 

(3) 设置 IP 地 址 信息 。 公 用 网 卡 用 于 响应 客户 端 用 户 对 网 络 服务 器 的 访问 ,专用 网 卡 
用 于 服务 器 群集 中 节点 间 的 通信 。 建 议 不 要 使 用 DHCP 为 任何 网 卡 分 配 IP 地 址 ,而 应 当 
为 所 有 网 卡 指定 静态 IP 地 址 信息 。 

(4) 安装 NLB。NLB 功能 默认 并 未 安装 和 启用 ,在 Windows Server 2008 系统 中 ,管理 
员 可 以 通过 添加 “功能 ”的 方式 安装 NLB。 需 要 注意 的 是 ,在 安装 NLB 前 ,必须 配置 要 安装 
NLB 的 适配器 上 只 有 TCP/IP, 不 能 向 该 适配器 中 添加 任何 其 他 协议 。 

(5) 用 户 权限 配置 。 使 用 NLB 管理 器 时 ,必须 是 正在 配置 的 主机 上 的 Administrators 
组 的 成 员 ,或 者 被 委派 了 适当 权限 的 用 户 。 如 果 通 过 不 属于 群集 的 计算 机 运行 NLB 管理 器 
来 配置 群集 或 主机 , 则 不 必 是 该 计算 机 Administrators 组 的 成 员 。 

2. 新 建 网 络 负载 均衡 群集 

(1) 依次 选择 “开始 ”一 “管理 工具 ”一 “网 络 负载 均衡 管理 器 "选项, 即 可 启动 “网 络 负 
载 平衡 管理 器 ”"。 右 击 “ 网 络 负载 平衡 群集 ” ,在 快捷 菜单 中 选择 “新 建 群 集 ” 选 项 ,显示 如 
图 13-21 所 示 的 “新 群集 : 连接 "对话 框 。 在 “主机 ”文本 框 中 ,输入 欲 添 加 的 主机 的 IP 地址 。 
单 击 “连接 ?按钮 , 即 可 开始 连接 到 群集 计算 机 。 在 “可 用 于 配置 新 群集 的 接口 ?列表 中 ,显示 
该 主机 可 用 的 网 络 连接 ,并 选中 所 要 使 用 的 网 络 连接 接口 。 
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图 13-21 “新 群集 : 连接 ”对 话 框 


(2) 单 击 “下 一 步 ? 按 钮 ,显示 如 图 13-22 所 示 的 “新 群集 : 主机 参数 ”对 话 框 。 在 “优先 
级 (单一 主机 标识 符 )” 下 拉 列 表 框 中 ,选择 所 要 使 用 的 某 个 值 。 该 参数 为 每 个 主机 指定 一 个 
唯一 ID。 在 “默认 状态 ”下 拉 列 表 框 中 ,可 以 选择 设置 完成 后 ,该 群集 的 状态 默认 为 “已 启 
动 "。 如 果 选 中 “在 计算 机 重新 启动 后 保持 挂 起 状态 ” 复 选 框 ,可 以 在 群集 计算 机 重新 启动 
后 ,保持 挂 起 状态 ,直到 管理 员 手 动 启动 。 

(3) 单 击 “下 一 步 ? 按 钮 ,显示 如 图 13-23 所 示 的 “新 群集 : 群集 IP 地 址 ”对 话 框 。 在 该 
对 话 框 中 ,根据 需要 设置 群集 的 每 个 成 员 所 共享 的 群集 IP 地 址 , 即 负 载 平衡 时 所 使 用 的 IP 
地 址 。 
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图 13-22 “新 群集 : 主机 参数 ”对 话 框 


图 13-23 “新 群集 : 群集 IP 地 址 ”对 话 框 


(4) 单 击 “ 添 加 ”按钮 ,显示 如 图 13-24 所 示 的 “添加 IP 地 址 ?对 话 框 。 因 为 这 里 只 使 用 
IPv4 地 址 ,所 以 只 能 选中 “添加 IPv4 地 址 ” 单 选 按钮 。 在 "IPv4 地 址 ”和 “ 子 网 掩 码 ”文本 框 


中 ,分 别 输入 想 要 设置 的 IP 地 址 和 子 网 掩 码 。 


(5) 单 击 “ 确 定 ” 按 钮 ,返回 “新 群集 : 群集 IP 地 址 ”对 话 框 , 单 击 “ 下 一 步 ” 按 钮 ,显示 如 

图 13-25 所 示 的 “新 群集 : 群集 参数 ”对 话 框 。 根 据 需 要 ,选择 “IP 地 址 和 子 网 掩 码 ” 中 的 值 ， 
“完整 Internet 名 称 ” 文 本 框 中 ,输入 用 户 将 用 于 访问 该 NLB 群集 的 Internet 全 名 。 在 
“群集 操作 模式 "中 ,选择 所 要 使 用 的 群集 操作 模式 ,这 里 保持 默认 设置 ,即使 用 “ 单 播 "模式 。 
在 单 播 模 式 中 ,会 将 群集 的 MAC 地 址 指定 给 计算 机 的 网 络 适配器 ,不 使 用 网 络 适配器 的 内 


置 MAC 地 址 。 
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图 13-24 “添加 IP 地址 ”对 话 框 


13-25 “新 群集 : 群集 参数 ”对 话 框 


(6) 单 击 “下 一 步 ?按钮 ,显示 如 图 13-26 所 示 的 “新 群集 : 端口 规则 ”对 话 框 。 在 该 对 话 
框 中 ,可 以 根据 需要 修改 端口 规则 , 单 击 “ 编 辑 ” 按 钮 进行 修改 即 可 ,这 里 保持 默认 设置 。 


(7) 单 击 “ 完 
集中 。 
3. 向 群集 中 添加 主机 


”按钮 ,完成 设置 。 稍 等 片刻 , 即 可 成 功 创建 群集 ,并 将 该 主机 添加 到 群 


通常 情况 下 ,群集 的 计算 机 可 能 会 有 多 台 ,为 了 使 所 提供 的 服务 更 加 稳定 ,可 以 向 群集 


中 添加 更 多 的 主机 。 具 体操 作 步 又 如 下 。 
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(1) 在 “网 络 负载 平衡 管理 器 ”窗口 中 , 右 击 群集 名 称 , 在 快捷 菜单 中 选择 “添加 主机 到 
群集 ?选项 ,显示 如 图 13-27 所 示 的 “将 主机 添加 到 群集 : 连接 ”对 话 框 。 在 “主机 ”文本 框 
中 ,输入 想 要 添加 的 主机 IP 地 址 , 单 击 “ 连 接 ” 按 钮 , 即 可 连接 到 该 主机 。 
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图 13-26 “新 群集 : 端口 规则 ”对 话 框 


图 13-27 “将 主机 添加 到 群集 : 连接 ”对 话 框 


(2) 单 击 "下 一 步 ?按钮 ,显示 如 图 13-28 所 示 的 “将 主机 添加 到 群集 : 主机 参数 ”对 话 
框 。 具 体 设置 方法 同 “ 新 建 网 络 负载 平衡 群集 ,这 里 不 再 袭 述 。 

(3) 单 击 "下 一 步 ?按钮 ,显示 如 图 13-29 所 示 的 “将 主机 添加 到 群集 : 端口 规则 ?对 话 
框 。 根 据 需 要 进行 设置 即 可 ,这 里 保持 默认 设置 。 
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图 13-28 “将 主机 添加 到 群集 : 主机 参数 ”对 话 框 


(4) 单 击 “ 完 成 ”按钮 ,完成 主机 的 添加 。 
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图 13-29 “将 主机 添加 到 群集 : 端口 规则 ”对 话 框 


13.2.3 知识 链接 : 故障 转移 群集 和 网 络 负载 均衡 


1. 故障 转移 群集 的 优 缺 点 
故障 转移 群集 具备 以 下 优点 。 


(1) 适应 计划 内 的 停机 时 间 。 故 障 转移 群集 可 以 允许 系统 有 停机 时 间 ,而 不 会 影响 可 


用 性 ,满足 日 常 维护 和 升级 需要 。 


(2) 减少 计划 外 停机 时 间 。 故 障 转移 群集 通过 消除 系统 和 应 用 程序 级 别 上 的 故障 单 
点 ,减少 服务 器 和 软件 故障 有 关 的 应 用 程序 停机 时 间 。 
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故障 转移 群集 具备 以 下 缺点 。 

(1) 增加 响应 时 间 。 对 于 故障 转移 群集 设计 来 说 ,由 于 备用 服务 器 上 的 负载 增长 ,或 需 
要 更 新 多 台 服 务 器 的 状态 信息 ,因此 会 增加 响应 时 间 。 

(2) 增加 设备 成 本 。 故 障 转移 群集 所 要 求 的 额外 硬件 使 购买 服务 器 以 及 相应 软件 的 成 
本 加 售 。 

2. 网 络 负载 均衡 的 功能 

Windows Server 2008 系统 的 网 络 负载 均衡 提供 如 下 功能 。 

(1) 可 伸缩 性 

可 伸缩 性 是 度量 计算 机 、 服 务 或 应 用 程序 如 何 更 好 地 改进 以 满足 持续 增长 的 性 能 需求 
的 标准 。 对 于 NLB 群集 而 言 ,可 伸缩 性 是 指 当 群集 的 全 部 负载 超过 其 能 力 时 逐步 将 一 个 或 
多 个 系统 添加 到 现 有 群集 中 的 功能 。NLB 的 可 伸缩 性 功能 包括 如 下 内 容 。 

平衡 NLB 群集 上 对 各 个 TCP/IP 服务 的 负载 请 求 。 

@ 在 一 个 群集 中 最 多 支持 32 台 计 算 机 。 

@ 平衡 群集 中 多 个 主机 之 间 的 多 个 服务 器 负载 请 求 ( 来 自 同一 个 客户 端 或 者 来 自 几 个 
客户 端 ) 。 

@ 支持 在 负载 增加 时 ,能 够 在 不 关闭 群集 的 情况 下 向 NLB 群集 中 添加 主机 。 

@ 支持 在 负载 降低 时 ,能 够 从 群集 中 删除 主机 。 

@ 通过 全 部 实现 管道 化 提高 性 能 并 降低 开销 。 管 道 允许 向 NLB 群集 发 送 请 求 ,而 无 
须 等 待 响应 上 一 个 发 送 的 请 求 。 

(2) 高 可 用 性 

通过 最 大 限度 地 减少 停机 时 间 ,高 可 用 系统 能 够 可 靠 地 提供 可 接受 级 别 的 服务 。NLB 
包括 一 些 内 置 功能 ,可 以 通过 自动 执行 以 下 操作 来 提供 高 可 用 性 。 

O 检测 发 生 故障 或 脱 机 的 群集 主机 并 对 其 进行 恢复 。 

@ 在 添加 或 删除 主机 时 平衡 网 络 负载 。 

@ 在 10s 之 内 恢复 并 重新 分 发 负载 。 

(3) 可 管理 性 

NLB 提供 以 下 可 管理 性 功能 。 

a 使 用 NLB 管理 器 ,可 以 从 单个 计算 机 管理 和 配置 多 个 NLB 群集 和 群集 主机 。 

@ 使 用 端口 管理 规则 ,可 以 为 单个 IP 端口 或 一 组 端口 指定 负载 平衡 行为 。 

@ 可 以 为 每 个 网 站 定义 不 同 的 端口 规则 。 如 果 对 多 个 应 用 程序 或 网 站 使 用 相同 的 一 
组 负载 平衡 服务 器 , 则 端口 规则 基于 目标 虚拟 IP 地 址 (使 用 虚拟 群集 ) 。 

@ 使 用 可 选 的 单 主机 规则 ,可 以 将 所 有 客户 端 请 求 引 导 至 单个 主机 。NLB 将 客户 端 
请 求 路 由 到 运行 特定 应 用 程序 的 特定 主机 。 

@@ 可 以 阻止 对 某 些 IP 端口 进行 不 需要 的 网 络 访问 。 

可 以 在 群集 主机 上 启用 Internet 组 管理 协议 (IGMP) 支 持 , 以 控制 交换 机 广播 (在 多 
播 模 式 中 操作 时 )。 

@ 使 用 shell 命令 或 脚本 ,可 以 从 运行 Windows 的 任何 联网 计算 机 上 远程 启动 .停止 
和 控制 NLB 操作 。 

@ 可 以 查看 Windows 事件 日 志 以 检查 NLB 事件 。NLB 在 事件 日 志 中 记录 所 有 操作 
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和 群集 更 改 。 

(4) 易 用 性 

NLB 提供 了 许多 便于 使 用 的 功能 。 

Q@ 可 以 作为 标准 的 Windows 网 络 驱 动 程序 组 件 安 装 NLB。 

@ NLB 不 需要 更 改 任何 硬件 即 可 启用 和 运行 。 

@ 使 用 NLB 管理 器 可 以 新 建 NLB 群集 。 

@ 使 用 NLB 管理 器 ,可 以 从 一 台 远程 或 本 地 计算 机 上 配置 和 管理 多 个 群集 以 及 群集 
的 所 有 主机 。 

@ NLB 允许 客户 端 使 用 单个 逻辑 Internet 名 称 和 虚拟 IP 地 址 ( 称 为 群集 IP 地 址 , 保 
留 每 台 计 算 机 的 各 个 名 称 ) 访 问 群集 。NLB 允许 多 宿主 服务 器 具有 多 个 虚拟 IP 地 址 。 需 
要 注意 的 是 ,如 果 是 虚拟 群集 , 则 不 需要 服务 器 是 多 宿主 服务 器 即 可 具有 多 个 虚拟 IP 地 址 。 

@ 可 以 将 NLB 绑 定 到 多 个 网 络 适 配器 ,这 样 便 可 以 在 每 个 主机 上 配置 多 个 独立 的 群 
集 。 支 持 多 个 网 络 适 配器 与 虚拟 群集 不 同 ,因为 虚拟 群集 允许 在 单个 网 络 适 配器 上 配置 多 
个 群集 。 

@ 不 需要 修改 服务 器 应 用 程序 即 可 在 NLB 群集 中 运行 。 

@ 如 果 群 集 主 机 出 现 故障 并 且 后 来 又 恢复 联机 , 则 可 以 将 NLB 配置 为 自动 将 该 主机 
添加 到 和 群集。 然后 ,添加 的 主机 将 能 够 开始 处 理 来 自 客户 端的 新 的 服务 器 请 求 。 

@ 可 以 在 不 打扰 其 他 主机 上 群集 操作 的 情况 下 使 计算 机 脱 机 进行 预防 性 的 维护 。 


13.3 网络 链 路 袍 余 


网 络 链 路 元 余 是 增加 传输 带宽 、 提 高 网 络 可 靠 性 的 常用 物理 方法 。 任 何 厂 商都 不 能 保 
证 其 产品 不 发 生 故 障 , 而 发 生 故障 时 能 否 迅 速 切换 到 一 个 好 设备 上 ,是 令 人 关心 的 问题 。 与 
服务 器 的 网 卡 元 余 类 似 ,网 络 传输 达到 或 超过 带宽 限制 时 ,可 以 通过 网 络 链 路 负载 均衡 功 
能 ,将 负载 平均 分 配 到 所 有 链 路 上 ,从 而 提高 了 传输 速率 。 如 果 主 链 路 出 现 故 障 , 则 备用 链 
路 仍 可 继续 工作 ,以 保证 网 络 传 输 的 正常 进行 。 


13.3.1 配置 交换 机 链 路 汇聚 


借助 于 PAgP 或 LACP 协议 ,可 以 很 容易 地 在 支持 EtherChannel 功能 的 端口 之 间 , 自 
动 建立 Fast EtherChannel 和 Gigabit EtherChannel 连接 。 图 13-30 所 示 为 在 Cisco 
Catalyst 2960 和 Catalyst 3750 之 间 创 建 的 拥有 2 条 链 路 的 Gigabit EtherChannel, 实 现 链 
路 汇聚 。 

提示 : 只 有 在 固定 端口 (如 双 绞 线 端口 或 光纤 端口 ) 之 间 才 可 以 创建 EtherChannel, 而 
由 GBIC 或 SFP 揪 档 所 创建 的 链 路 是 不 能 用 于 创建 EtherChannel 的 。 

链 路 汇聚 技术 在 网 络 中 的 实际 应 用 是 非常 广泛 的 。 可 以 将 10/100Mbps 端口 或 交换 
机 ,聚合 为 千 兆 连接 ,轻松 获得 快速 的 网 络 传输 。 而 对 于 千 兆 端口 或 交换 机 而 言 ,断口 汇聚 
则 可 以 成 倍增 加 网 络 干 路 的 带宽 ,消除 交换 机 级 联 产生 的 网 络 瓶颈 。 不 仅 如 此 ,断口 汇聚 技 
术 还 可 以 应 用 于 服务 器 到 骨干 交换 机 的 连接 ,如 图 13-31 所 示 ,不 仅 突破 了 服务 器 到 交换 机 
千 兆 传输 速率 的 限制 ,还 可 以 实现 多 网 卡 的 负载 均衡 ,充分 保障 了 网 络 访问 的 可 靠 性 。 


第 16 章 配置 网 络 可 靠 性 。 433 


多 网 卡 服 多 器 [人 
支持 Trunk 
的 交换 机 


图 13-31 Trunk 技术 解决 交换 机 和 服务 器 之 间 的 传输 瓶颈 


1. 创建 EtherChannel 
(1) 进入 配置 模式 。 


Switch# configure terminal 


(2) 选择 欲 配置 为 EtherChannel 的 物理 接口 。PAgP EtherChannel 组 可 以 容纳 
8 个 (4 对 ) 同 一 类 型 和 速度 的 端口 。LACP EtherChannel 组 最 多 可 以 容纳 16 个 (8 对 ) 相 同 
类 型 的 端口 ,其 中 8 个 (4 对 ) 活 动 端口 ,以 及 最 多 8 个 (4 对 ) 备 用 端口 。 


Switch(config) # interface interface-id 


(3) 将 所 有 端口 指定 为 同一 VLAN 内 的 静态 访问 端口 ,或 者 配置 为 Trunk。 如 果 配 置 
为 静态 端口 ,只 能 指定 至 一 个 VLAN,VLAN 的 取 值 范 围 为 1 一 4094。 


Switch(config-if) # switchport mode{access|trunk) switchport access vlan vlan-id 


(4) 将 接口 指定 至 EtherChannel 组 ,并 指定 PAgP 或 LACP 模式 。EtherChannel 端口 
组 的 取 值 范围 为 1 一 48。channel-group 命令 的 参数 及 用 法 如 表 13-1 所 示 。 

Switch(config-if) # channel-group port _channel _number mode{{auto [non-silent] | desirable [non- 

silent] |on} | {active| passive}} 

采用 PAgP 协议 时 ,以 下 两 种 模式 可 以 构建 EtherChannel。 

O@D 一 个 接口 为 desirable 模式 ; 另 一 个 接口 为 desirable 或 auto 模式 。 

@ 一 个 接口 为 auto 模式 ; 另 一 个 接口 为 desirable 模式 。 
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表 13-1 channelgroup 命令 的 参数 及 用 法 
参 数 描 述 
a 当 侦 测 到 PAgP 设备 时 ,将 只 启用 PAgP。 将 端口 置 于 被 动 协 商 状 态 ,可 以 对 接收 到 
的 PAgP 做 出 响应 ,但 是 ,不 能 主动 发 送 PAgP 包 进行 协商 
无 条 件 启用 PAgP。 将 接口 置 于 主动 协商 状态 ,通过 发 送 PAgP 包 , 主 动 与 其 他 接口 
desirable 进行 协商 
on 将 接口 强行 指定 至 Channel。 只 有 两 个 on 模式 接口 组 连接 时 ,EtherChannel 才 可 用 
如 果 交 换 机 连接 到 有 PAgP 能 力 的 伙伴 ,可 以 将 接口 配置 为 non silent( 非 沉默 ) 运 行 。 
sl 如 果 没 有 为 auto 或 desirable 模式 指定 non-silent 关键 字 ,默认 为 silent。 沉 默 设置 被 
?on en | 用 于 连接 到 文件 服务 器 或 包 分 析 仪 。 该 设置 允许 PAgP, 将 接口 添加 至 Channel 组 ， 
并 使 用 接口 进行 传输 
ee 当 侦 测 到 LACP 设备 时 ,将 只 启用 LACP。 激 活 接口 的 主动 协商 状态 ,通过 发 送 
LACP 包 ,与 其 他 接口 进行 主动 协商 
本 当 侦 测 到 LACP 设备 时 ,将 只 启用 LACP。 将 端口 置 于 被 动 协商 状态 ,可 以 对 接收 到 
的 LACP 作出 响应 ,但 是 ,不 能 主动 发 送 LACP 包 进 行 协商 


采用 LACP 协议 时 ,以 下 两 种 模式 可 以 构建 EtherChannel。 

a 一 个 接口 为 active 模式 ; 另 一 个 接口 为 active 或 passive 模式 。 
@ 一 个 接口 为 active 模式 ; 另 一 个 接口 为 passive 模式 。 

(5) 退出 配置 模式 。 

Switch(config-if) # end 

(6) 校 验 配置 。 

Switch# show running-config 

(7) 保存 配置 。 

Switch# copy running-config startup-config 


提示 : GBIC 和 SFP 接口 不 能 被 配置 为 EtherChannel。 
2. 配置 EtherChannel 负载 均衡 
EtherChannel 还 具有 负载 均衡 和 线路 备份 的 功能 ,建议 创建 EtherChannel 链 路 汇聚 


,立即 配置 ,以 增强 网 络 的 稳定 性 和 安全 性 。 主 要 操作 步骤 如 下 。 


(1) 进入 配置 模式 。 
Switch# configure terminal 
(2) 配置 EtherChannel 负载 均衡 。 


Switch(config) # port-channel load-balance{dst-mac|src-mac} 


提示 : dst-mac, 基 于 进入 包 的 目的 主机 的 MAC 地 址 进行 负载 分 配 。src-mac, 基 于 进 


入 包 的 源 MAC 地 址 进行 负载 分 配 。 


(3) 退出 配置 模式 。 
Switch(config-if) # end 
(4) 校 验 配 置 。 
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Switch# show etherchannel load-balance 
(5) 保存 配置 。 


Switch# copy running-config startup-config 


3. 从 EtherChannel 中 移 除 接口 
从 EtherChannel 中 移 除 接口 的 主要 操作 步骤 如 下 。 
(1) 进入 配置 模式 。 


Switch# configure terminal 

(2) 指定 欲 配置 的 物理 接口 。 
Switch(config) # interface interface-id 
(3) 从 EtherChannel 中 移 除 接口 。 
Switch(config-if) # no channel-group 
(4) 退出 配置 模式 。 
Switch(config-if) # end 

(5) 校 验 配 置 。 

Switch# show running-config 

(6) 保存 配置 。 


Switch# copy running-config startup-config 


4. 移 除 EtherChannel 
移 除 EtherChannel 后 所 有 端口 将 恢复 原始 状态 ,主要 操作 步骤 如 下 。 
(1) 进入 配置 模式 。 


Switch# configure terminal 
(2) 移 除 Channel 接口 。 

Switch(config) # no interface port-channel port_channel_number 
(3) 退出 配置 模式 。 

Switch(config-if) # end 

(4) 校 验 配置 。 

Switch# show etherchannel summary 

(5) 保存 配置 。 


Switch# copy running-config startup-config 


13.3.2 配置 交换 机 链 路 宛 余 
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配置 Spanning Tree 与 EtherChannel 有 所 不 同 , 它 只 能 保证 在 两 台 交 换 机 之 间 拥 有 一 


@e。e。 
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条 活动 链 路 ,备用 链 路 只 有 在 主 链 路 出 现 故障 时 才 会 启用 。 

1. 禁用 Spanning Tree 

交换 机 的 Spanning Tree 功能 默认 是 开启 的 ,如 果 确 认 在 VLAN 内 没有 拓扑 环 , 可 以 
将 其 禁用 ,以 减少 端口 接 人 时 等 待 的 时 间 。 主 要 操作 步骤 如 下 。 

(1) 进入 配置 模式 。 

Switch# configure terminal 

(2) 在 指定 VLAN 内 禁用 Spanning Tree。 

Switch(config) # no spanning-tree vlan vlan-id 

(3) 返回 至 特权 配置 模式 。 

Switch(config-if) # end 

(4) 查看 并 校 验 配置 。 

Switch# show spanning-tree vlan vlan-id 

(5) 保存 配置 。 

Switch# copy running-config startup-config 


若 欲 重新 启用 STP, 可 以 使 用 spanning-tree vlan vlan-id 全 局 配置 命令 。 

2. 将 交换 机 配置 为 根 交 换 机 

当 VLAN 中 存在 有 拓扑 环 时 ,应 当 通过 根 交换 机 、 端 口 优先 级 和 路 径 费用 等 设置 ,确定 
网 络 拓扑 结构 ,从 而 使 Spanning Tree 的 生成 时 间 最 短 。 

(1) 进入 配置 模式 。 


Switch# configure terminal 


(2) 将 交换 机 配置 为 指定 VLAN 的 根 交 换 机 。diameter net-diamete 用 于 指定 两 个 终 
端 间 交 换 机 的 数量 , 取 值 范围 为 2 一 7。 使 用 spanning-tree vlan vlan_id root secondary 
diameter net-diamete 命令 ,可 以 将 交换 机 配置 为 次 根 交 换 机 。 


Switch(config) # spanning-tree vlan vlan_id root primary diameter net-diamete 
(3) 返回 至 特权 配置 模式 。 

Switch(config-if) # end 

(4) 查看 并 校 验 配置 。 

Switch# show spanning-tree detail 

(5) 保存 配置 。 


Switch# copy running-config startup-config 


若 欲 将 交换 机 恢复 为 默认 配置 .可 以 在 全 局 配置 模式 下 使 用 no spanning-tree vlan vlan- 


id root 命令 。 
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3. 配置 端口 优先 值 

如 果 VLAN 内 有 拓扑 环 ,Spanning Tree 将 使 用 端口 优先 值 确定 将 哪个 接口 置 于 转发 
状态 ,因此 ,可 以 为 欲 首 先 选择 的 端口 赋予 较 高 优先 级 值 ( 较 小 的 数值 ) 。 如 果 所 有 端口 都 有 
相同 的 优先 级 值 , 那 么 ,具有 最 小 端口 号 的 端口 将 被 设置 为 转发 状态 ,其 他 接口 则 处 于 阻塞 
状态 。 


(1) 进入 配置 模式 。 
Switch# configure terminal 


(2) 选择 欲 配 置 的 接口 , 既 可 以 是 物理 接口 ,也 可 以 是 EtherChannel 逻辑 端口 (port- 


channel portrchannel-number) 。 


Switch(config) # interface interface-id 


(3) 为 接口 配置 优先 级 值 , 取 值 范 围 为 0 一 255, 默 认 值 为 128。 数 值 越 低 ,优先 级 
越 高 。 

Switch(config-if) # spanning-tree port-priority priority 

(4) 为 接口 配置 VLAN 端口 优先 级 。 取 值 范 围 为 0 一 255, 默 认 值 为 128。 数 值 越 低 ， 
优先 级 越 高 。 

SwitchCconfig-if) # spanning-tree vlan vlan-id port-priority priority 

(5) 返回 特权 配置 模式 。 

Switch(config) # end 

(6) 校 验 配置 。 


Switch# show spanning-tree interface interface-id| {port-channel port_channel_number} 
Switch# show spanning-tree vlan vlan_id 


(7) 保存 配置 。 
Switch# copy running-config startup-config 


使 用 no spanning-tree [vlan vlan-id] port-priority 接口 配置 命令 ,可 以 将 端口 优先 级 恢 
复 为 默认 值 。 

4. 配置 路 径 费 用 

Spanning Tree 路 径 费 用 的 默认 值 取决 于 接口 的 类 型 与 速率 。 当 VLAN 中 有 拓扑 环 
时 ,Spanning Tree 使 用 路 径 费用 选择 将 哪个 接口 置 于 转发 状态 。 有 具有 最 低 端 口 费 用 的 端口 
将 被 选择 用 于 向 所 有 的 VLAN 转发 帧 。 因 此 ,可 以 为 欲 选 择 的 接口 赋予 较 低 的 费用 值 , 以 
确定 网 络 拓扑 。 通 常情 况 下 ,应 当 为 快速 链 路 (如 1000Mbps 端口 ) 赋 予 一 个 最 小 值 ,而 为 一 
个 慢 速 链 路 (如 100Mbps 端口 ) 赋 了 予 一 个 最 大 值 。 如 果 所 有 接口 的 成 本 值 都 有 相同 ,那么 ， 
具有 最 小 端口 号 的 端口 将 被 设置 为 转发 状态 ,其 他 接口 则 处 于 阻塞 状态 。 

(1) 进入 配置 模式 。 


Switch# configure terminal 
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(2) 选择 欲 配置 的 接口 , 既 可 以 是 物理 接口 ,也 可 以 是 EtherChannel 逻辑 端口 (port 


channel portrchannel-number) 。 


Switch(config) # interface interface-id 


(3) 配置 接口 的 费用 , 取 值 范围 为 1 一 200000000。 较 低 的 路 径 费用 表明 有 较 高 的 传输 


Switch(config-if) # spanning-tree cost cost 


(4) 配置 VLAN 的 费用 , 取 值 范围 为 1 一 200000000。 较 低 的 路 径 费用 表明 有 较 高 的 传 
Switch(config-if) # spanning-tree vlan vlan_id cost cost 

(5) 返回 特权 配置 模式 。 

Switch(config) # end 

(6) 校 验 配置 。 


Switch# show spanning-tree interface{interface-id} | {port-channel port_channel_number} 
Switch# show spanning-tree vlan vlan_ID 


(7) 保存 配置 。 

Switch# copy running-config startup-config 

使 用 no spanning-tree [vlan vlan-id] cost 接口 配置 命令 ,可 以 将 接口 费用 恢复 为 默 
认 值 。 

13.3.3 配置 三 层 交 换 机 路 由 宛 余 


1. 启用 HSRP 
在 特权 EXEC 模式 下 开始 ,执行 如 下 操作 ,可 以 在 一 个 3 层 接口 上 创建 或 启用 HSRP。 
(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 

(2) 进入 接口 配置 模式 ,并 且 进入 欲 启用 HSRP 的 3 层 接口 。 
Switch(config) # interface interface-id 

(3) 创建 SHRP 组 ,利用 组 号 或 者 虚拟 IP 地址 。 
Switch(config) # standby[group-number]ip[ip-address[secondary]] 
(4) 返回 特权 EXEC 模式 。 

Switch(config) # end 

(5) 校 验 配置 。 


Switch# show standby[interface-id[group]] 
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(6) 保存 配置 。 
Switch(config) # copy running-config startup-config 


使 用 no standby [group-number] ip [ip-address] 接 口 配置 指令 来 禁用 HSRP。 
2. 配置 HSRP 优先 权 

在 特权 EXEC 模式 下 开始 ,借助 以 下 操作 ,可 以 在 接口 上 配置 HSRP 优先 权 。 
(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 
(2) 进入 接口 配置 模式 ,并 进入 欲 设置 优先 权 的 HSRP 接口 。 
Switch(config) # interface interface-id 


(3) 设置 被 用 于 选择 活动 路 由 的 优先 值 。 范 围 是 1 一 255, 默 认 的 优先 值 是 100。 数 值 


越 高 ,优先 权 越 高 。 


活动 路 由 。 


权 被 降低 。 


Switch(config) # standby[group-number] priority priority[preempt [delay delay]] 


(4) 配置 路 由 to preempt, 即 当 路 由 器 比 活动 的 路 由 有 较 高 的 优先 权时 , 它 便 作 为 一 个 


Switch(config) # standby[group-number] [priority priority] preempt[delay delay] 


(5) 配置 一 个 接口 来 追踪 其 他 的 接口 ,以便 其 他 的 某 个 接口 失效 时 ,设备 的 热 备 份 优先 


Switch(config) # standby[group-number]track type number[interface-priority] 
(6) 返回 特权 EXEC 模式 。 

Switch(config) # end 

(7) 校 验 配置 。 

Switch# show running-config 

(8) 保存 配置 。 

Switch(config) # copy running-config startup-config 


使 用 no standby [group -number] priority priority [preempt [delay delay]] 和 no 


standby [group-number] [priority priority] preempt [delay delay] 接 口 配置 指令 ,重新 存 
储 默认 优先 权 ,preempt 和 延迟 值 。 


使 用 no standby [group-number] track type number [interface-priority] 接 口 配置 指令 


3. 配置 MHSRP 


启用 MHSRP 负载 平衡 ,配置 两 个 路 由 作为 活动 路 由 ,把 虚拟 路 由 器 作为 备份 路 由 器 。 


配置 MHSRP 时 ,需要 在 每 个 HSRP 接口 上 输入 standby preempt 接口 配置 指令 ,以便 如 果 


他 路 由 器 失效 后 返回 。 
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路 由 器 A 被 配置 为 1 组 的 活动 路 由 器 ,路 由 器 B 被 配置 为 2 组 的 活动 路 由 器 。 路 由 器 
A 的 HSRP 接口 有 一 个 IP 地 址 10.0.0.1,1 组 的 备份 优先 权 是 110。 路 由 B 的 HSRP 接口 
的 IP 地 址 是 10.0.0.2,2 组 的 备份 优先 权 是 110。 

1 组 使 用 虚拟 IP 地 址 10. 0.0.3,2 组 使 用 虚拟 IP 地 址 10. 0. 0. 4。 

配置 路 由 A: 


Switch# configure terminal 

Switch(config) # interface gigabitethernetl/0/1 
Switch(config-if) # no switchport 

Switch(config-if)# ip address 10.0.0.1 255.255.255.0 
Switch(config-if) # standby 1 ip 10.0.0.3 
Switch(config-if) # standby 1 priority 110 
Switch(config-if) # standby 1 preempt 
Switch(config-if) # standby 2 ip 10.0.0.4 
Switch(config-if) # standby 2 preempt 
Switch(config-if) # end 


配置 路 由 B: 


Switch# configure terminal 

Switch(config) # interface gigabitethernetl/0/1 
Switch(config-if) # no switchport 

Switch(config-if) # ip address 10.0.0.1 255.255.255.0 
Switch(config-if) # standby 1 ip 10.0.0.3 
Switch(config-if) # standby 1 preempt 
Switch(config-if) # standby 2 ip 10.0.0.4 
Switch(config-if) # standby 2 priority 110 
Switch(config-if) # standby 2 preempt 
Switch(config-if) # end 

4. 配置 HSRP 认证 和 时 钟 

在 特权 EXEC 模式 下 开始 ,借助 以 下 操作 ,可 以 配置 HSRP 认证 和 时 钟 。 


(1) 进入 全 局 配置 模式 。 

Switch# configure terminal 

(2) 进入 接口 配置 模式 ,并 且 进 入 欲 设 置 认证 的 HSRP 接口 。 
Switch(config) # interface interface-id 


(3) 认证 string 输入 一 个 字符 串 ,在 所 有 的 HSRP 信息 中 被 传 载 。 认 证 字符 串 可 以 是 
8 个 字符 的 长 度 ,默认 的 字符 串 是 cisco。 


Switch(config) # standby[group-nuber] authentication string 

(4) 在 其 他 路 由 器 声明 活动 路 由 器 Down 掉 之 前 ,配置 hello 包 和 时 间 之 间 的 时 钟 。 
Switch(config) # standby[group-number]timers hellotime holdtime 

(5) 返回 特权 EXEC 模式 。 


Switch(config) # end 
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(6) 校 验 配置 。 
Switch# show running-config 
(7) 保存 配置 。 


Switch(config) # copy running-config startup-config 


使 用 no standby [group-number] authentication string 接口 配置 命令 去 删除 一 个 认证 
字符 串 。 使 用 no standby [group-number] timers hellotime holdtime 接口 配置 指令 重新 存 
储 对 于 它们 默认 的 时 钟 。 

5. 配置 HSRP 组 和 和 绪 

当 一 个 设备 正在 参与 一 个 HSRP 备份 路 由 器 并 且 簇 被 启用 时 ,可 以 为 命令 交换 机 宛 余 
和 HSRP 元 余 使 用 同一 个 备份 组 。 使 用 cluster standby-group HSRP-group-name 
[Lrouting-redundancyj 全 局 配置 指令 来 为 命令 交换 机 和 路 由 器 宛 余 启用 同一 个 HSRP 备份 
组 。 如 果 创 建 一 个 带 有 同样 HSRP 备份 组 名 称 且 没有 routing-redundancy 关键 字 的 簇 ， 
HSRP 备份 路 由 器 对 这 个 组 就 无 效 。 

下 面 的 例子 就 显示 了 怎么 绑 定 备 份 组 my_hsrp 到 簇 ,并 且 启 用 同一 HSRP 组 命令 交换 
机 和 路 由 器 宛 余 。 这 个 命令 只 在 组 命令 交换 机 上 被 执行 。 如 果 备 份 组 名 称 和 号 不 存在 ,或 
者 如 果 交 换 机 是 一 个 组 员 ,就 会 出 现 错误 信息 。 


Switch# configure terminal 
Switch(config) # cluster standby-group my_hsrp routing-redundancy 
Switch(config) # end 


6. 显示 HSRP 配置 
在 特权 EXEC 模式 下 开始 ,使 用 下 述 命令 显示 HSRP 的 设置 ; 


show standby[interface-id [group]] [brief] [detai] 
如 下 所 示 为 2 个 备份 组 (组 1 和 组 100) 的 HSRP 信息 : 


Switch# show standby 

VLAN1-Group 1 

Local state is Standby, priority 105, may preempt 
Hellotime 3 holdtime 10 

Next hello sent in 00:00:02.182 

Hot standby IP address is 172.20.128.3 configured 
Active router is 172.20.128.1 expires in 00:00:09 
Standby router is local 

Standby virtual mac address is 0000.0c07.ac01 
Name is bbb 

VLAN1-Group 100 

Local state is Active, priority 105, may preempt 
Hellotime 3 holdtime 10 

Next hello sent in 00:00:02.262 

Hot standby IP address is 172.20.138.51 configured 
Active router is local 

Standby router is unknown expired 
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Standby virtual mac address is 0000.0c07.ac64 
Name is test 


13.3.4 知识 链接 : 链 路 汇聚 和 链 路 宛 余 技术 


1. 链 路 汇聚 技术 

链 路 汇聚 (Multi Link Trunk,MLT) 技 术 是 将 网 络 设备 的 多 个 低 带 宽 端 口 ,捆绑 成 一 条 
高 带宽 链 路 ,从 而 实现 链 路 负载 平衡 和 相互 元 余 。 汇 聚 后 的 链 路 容量 是 所 有 物理 链 路 容量 
之 和 。 如 果 其 中 一 条 物理 链 路 中 断 时 ,整个 逻辑 链 路 不 会 中 断 , 大 大 地 提高 了 网 络 连 接 的 可 
靠 性 。MLT 技术 可 以 在 多 个 不 同 网 络 设备 间 建 立 MLT 连接 ,实现 链 路 宛 余 。 当 一 条 链 路 
出 现 故 障 时 ,可 以 将 所 有 的 数据 流 切 换 到 另 一 个 链 路 上 ,切换 时 间 小 于 1s, 从 而 保证 中 心 节 
点 与 骨干 节点 的 可 靠 连 接 。 

EtherChannel 和 Port Trunking 是 最 常用 
的 交换 机 链 路 宛 余 技术 。 将 交换 机 上 多 个 物 
理 端 口 同 其 他 网 络 设备 的 多 个 端口 连接 起 来 ， 
在 逻辑 上 拥 绑 在 一 起 ,形成 一 个 拥有 较 大 带宽 
的 “端口 ,用 来 充当 网 络 中 的 干 路 传输 , 既 可 
以 增加 交换 机 之 间 , 以 及 交换 机 与 服务 器 之 间 
的 连接 带宽 ,实现 均衡 负载 ,又 可 提供 链 路 宛 
余 , 如 图 13-32 所 示 。Cisco 的 EtherChannel 
有 两 个 级 别 , 即 Fast EtherChannel 和 Giga 图 13-32 ”EtherChannel 宛 余 连接 
EtherChannel, 最 大 带宽 分 别 为 400Mbps 和 
4Gbps。 

Port Trunking 技术 相对 于 EtherChannel 技术 实现 起 来 更 加 简单 ,只 需 在 支持 
Trunking 功能 的 交换 机 上 ,将 多 个 端口 配置 为 一 个 逻辑 端口 ,并 将 其 配置 为 到 某 个 VLAN 
连接 即 可 。Port Trunking 管理 非常 灵活 ,不 需要 重新 布线 即 可 快速 部 署 端口 传输 速率 , 同 
时 也 可 以 提供 负载 均衡 能 力 以 及 系统 容错 功能 。 

注意 : 链 路 汇聚 技术 和 端口 汇聚 技术 可 以 将 交换 机 之 间 、 交 挨 机 和 路 由 器 之 间 的 最 多 
4 条 链 路 捆绑 在 一 起 ,成 倍增 加 网 络 传输 带宽 。 通 常情 况 下 ,配置 EtherChannel 的 端口 必 
须 具备 相同 的 属性 ,如 双 工 模式 、 同 为 百 兆 或 千 兆 端口 、 同 为 管理 VLAN 或 拥有 相同 的 
VLAN 边界 、Trunking 状态 等 。 配置 Trunking 时 的 端口 有 Trunk、Auto、Desirable 等 几 种 
模式 ; 配置 EtherChannel 时 的 端口 有 Desirable、Auto、On 等 几 种 模式 。 

2. 链 路 宛 余 技术 

链 路 宛 余 也 称 链 路 备份 ,顾名思义 ,网 络 设备 之 间 通 过 主 链 路 和 备份 链 路 连接 在 一 起 ， 
通常 情况 下 都 是 主 链 路 工作 ,只 有 当主 链 路 无 法 正常 工作 时 ,备份 链 路 自动 接替 主 链 路 上 的 
传输 任务 ,从 而 保证 网 络 传输 的 顺利 进行 。 导 致 网 络 链 路 故障 的 原因 有 很 多 ,除去 设备 或 模 
块 损 坏 等 硬件 故障 原因 以 外 ,还 可 能 由 于 瞬间 网 络 流量 过 载 、 任 务 负荷 过 大 而 导致 核心 交换 
机 瘫痪 。 因 此 ,为 了 确保 网 络 传输 的 可 靠 性 必须 为 重要 的 网 络 设备 连接 创建 元 余 链 路 ,如 新 
交换 机 和 骨干 交换 机 之 间 ,交换 机 和 服务 器 之 间 等 。 

提示 : 链 路 宛 余 与 负载 均衡 是 两 个 概念 , 宛 余 往往 与 备份 是 联系 在 一 起 的 ,单纯 有 兄 余 
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技术 并 不 一 定 能 实现 负载 均衡 ,而 负载 均衡 技术 是 依赖 于 链 路 宛 余 的 。 

图 13-33 所 示 是 汇聚 交换 机 和 核心 交换 机 之 间 的 链 路 宛 余 连接 方式 ,事实 上 在 这 种 拓 
扑 结构 的 网 络 中 会 由 于 交换 机 之 间 的 彼此 连接 而 导致 网 桥 循环 (拓扑 环 ) ,数据 在 交换 机 之 
间 循 环 传递 ,并 最 终 导致 网 络 瘫痪 。 

借助 交换 机 的 扩展 树 (Spanning Tree) 功 
能 即 可 解决 元 余 链 路 中 存在 的 拓扑 环 问题 。 
Spanning Tree 实现 宛 余 连接 的 工作 方式 是 
Stand By( 待 机 ), 即 指定 其 中 的 主 链 路 正常 工 
作 ,而 备份 链 路 处 于 Stand By 状态 ,并 实时 监 
控 主 链 路 的 工作 状态 ,一 旦 发 生 故 障 ,立即 开 
始 工作 。 这 种 链 路 宛 余 方式 ,虽然 不 能 提高 网 
络 传输 速率 ,但 可 以 充分 保证 网 络 链 路 的 可 图 13-33 ”交换 机 之 间 的 链 路 元 余 
靠 性 。 

在 启用 Spanning Tree 的 交换 机 时 ,其 接口 处 于 以 下 几 种 状态 之 一 。 

(1) Blocking( 阻 塞 ) ,不 参与 帧 的 转发 。 

(2) Listening( 侦 听 ), 当 确定 该 接口 将 参与 帧 转发 时 ,在 阻塞 状态 后 的 第 一 个 过 渡 

(3) Learning( 学 习 ) ,准备 参与 帧 转发 。 

(4) Forwarding( 转 发 ) ,转发 帧 。 

(5) Disabled( 禁 用 ) ,端口 处 于 Shutdown 状态 .没有 连接 ,或 者 没有 启用 Spanning 
Tree, 从 而 不 参与 Spanning Tree。 

默认 的 STP 配置 参数 如 表 13-2 所 示 。 


表 13-2 默认 STP 配置 


特 征 默认 设置 
启用 状态 VLAN 1 启用 ,最 多 可 以 启用 64 个 STP 
交换 机 优先 级 32768 
STP 端口 优先 级 128 

1000Mbps: 4 
STP 端口 费用 100Mbps: 19 
10Mbps: 100 
STP VLAN 端口 优先 级 128 
1000Mbps: 4 
STP VLAN 端口 费用 100Mbps: 19 
10Mbps: 100 


默认 状态 下 ,所 有 VLAN 中 的 扩展 树 都 被 启用 。 因 此 ,无 须 为 VLAN 启用 STP, 只 需 
根据 拓扑 结构 ,确定 根 交 换 机 ,并 调整 端口 费用 和 优先 级 值 ,从 而 设置 最 佳 路 径 。 

3. 路 由 元 余 技 术 

单 从 核心 交换 机 名 称 即 可 看 出 其 在 网 络 中 的 重要 地 位 ,几乎 所 有 的 跨 网 络 访问 都 要 经 
过 这 里 ,如 果 出 现 链 路 故障 , 则 毫 无 疑问 将 导致 网 络 竣 痪 。 借 助 路 由 热 备份 (Hot Stand by 
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Router Protocol, HSRP) 和 虚拟 路 由 元 余 (Virtual Router Redundancy Protocol, VRRP) 技 
术 可 以 使 核心 交换 机 双汇 聚 交 换 机 中 的 某 台 交换 机 出 现 故障 时 ,迅速 切换 三 层 路 由 设备 和 
虚拟 网 关 , 实 现 双 线路 的 宛 余 备份 ,保证 整 网 稳定 性 。 

(1) HSRP 技术 

HSRP 协议 的 设计 目标 是 为 特殊 环境 下 的 路 由 转发 提供 支持 ,如 主 路 由 器 断 开 等 ,此 时 
将 自动 启用 备份 路 由 器 ,以 维持 网 络 的 正常 连通 。 例 如 , 当 源 主机 不 能 确定 其 第 一 跳 路 由 器 
的 目的 了 PP 地 址 时 ,HSRP 协议 可 以 保护 第 一 跳 路 由 器 不 出 故障 。HSRP 协议 中 含有 多 种 路 
由 器 ,对 应 一 个 虚拟 路 由 器 (或 三 层 交 换 机 ) 。 

HSRP 协议 的 工作 机 制 如 图 13-34 所 示 , 其 中 负责 转发 数据 包 的 路 由 器 称 之 为 活动 路 
由 器 (Active Router)。 一旦 活动 路 由 器 出 现 故障 ,HSRP 将 激活 备用 路 由 器 (Stand by 
Routers) 取 代 主 动 路 由 器 。 实 际 上 ,HSRP 协议 只 是 提供 了 一 种 决定 使 用 活动 路 由 器 还 是 
备用 路 由 器 的 机 制 ,并 指定 一 个 虚拟 的 IP 地 址 作为 网 络 系统 的 默认 网 关 地 址 。 


Internet 


活动 路 由 《这 着 ; 备用 路 由 
IP 10.1.1.1/24 纪 2 IP 10.1.1.2/24 
HSRP 虚 拟 IP 
10.1.1.3 


计算 机 默认 网 关 
10.1.1.3 


图 13-34 HSRP 工作 过 程 


HSRP 的 默认 配置 如 表 13-3 所 示 。 
表 13-3 HSRP 的 默认 配置 


特 性 默认 设置 
HSRP 组 未 配置 
备用 组 号 0 
备用 MAC 地 址 系统 分 配 为 : 0000. 0c07. acXX,XX 是 HSRP 组 号 
备用 优先 权 100 
备用 延迟 0( 无 延迟 ) 
备用 追踪 接口 优先 权 10 
备用 hello 时 间 3s 
备用 holdtime 10s 


下 面 是 配置 HSRP 的 一 些 注意 事项 。 
Q@ HSRP 最 多 可 以 在 32 个 VLAN 或 者 路 由 器 接口 上 配置 。 
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@ 在 这 个 过 程 中 ,指定 的 接口 必须 在 3 层 的 接口 中 。 
。 路 由 器 端口 。 配 置 一 个 物理 端口 作为 一 个 3 层 接 口 ,输入 no switchport 接口 配置 
命令 。 
SVI。 创 建 一 个 VLAN 接口 ,使 用 interface vlan vlan_id 全 局 配置 指令 ,也 可 以 使 用 
3 层 默 认 接口 。 
EtherChannel port channel in Layer 3 mode。 使 用 interface port-channel port- 
channel-number 全 局 配置 命令 和 绑 定 以 太 网 接口 到 channel 组 来 创建 一 个 port- 
channel 逻辑 接口 。 

加 所 有 的 3 层 接口 都 必须 分 配 IP 地 址 。 

(2) VRRP 技术 

VRRP 路 由 元 余 技术 主要 是 通过 配置 路 由 器 组 ,实现 多 路 由 器 的 宛 余 。 一 组 VRRP 路 
由 器 协 同 工 作 , 构 成 一 台 虚 拟 路 由 器 ,对 外 表现 为 一 个 具有 唯一 固定 IP 地 址 和 MAC 地址 
的 迎 辑 路 由 器 。 同 一 VRRP 组 的 路 由 器 有 两 种 角色 , 即 主 控 路 由 器 和 备份 路 由 器 。 在 一 个 
VRRP 组 中 有 且 只 有 一 台 主 控 路 由 器 ,一 台 或 多 台 备 份 路 由 器 。VRRP 协议 使 用 选择 策略 
选 出 一 台 作 为 主 控 , 负 责 ARP 相应 和 转发 IP 数据 包 , 组 中 的 其 他 路 由 器 作为 备份 的 角色 处 
于 待命 状态 。 当 主 控 路 由 器 发 生 故 障 时 ,备份 路 由 器 能 在 几 秒 钟 的 时 延 后 升级 为 主 路 由 器 ， 
由 于 切换 迅速 且 无 须 改变 IP 地 址 和 MAC 地 址 ,所 以 ,对 网 络 用 户 而 言 一 切 都 是 透明 的 。 
VRRP 路 由 完 余 技术 的 工作 机 制 如 图 13-35 所 示 。 


路 由 器 A : 192.168.1.1/24 路 由 器 B : 192.168.1.2/24 


CE 区) 二 所 路 由 器 ， 
~ 7 192.168.1.3/24 


计算 机 IP : 192.168.1.x 
默认 网 关 : 192.168.1.3 


图 13-35 ”VRRP 工作 机 制 


13.4 数据 备份 与 恢复 


在 企业 网 络 中 ,无 论 是 ERP 系统 还 是 企业 网 站 ,得 以 稳定 运行 的 根本 都 是 对 数据 的 访 
问 和 处 理 。 数 据 的 可 靠 性 、 可 用 性 是 衡量 企业 网 络 可 靠 性 的 重要 依据 , 它 直 接 决 定 企业 业 务 
是 否 能 够 顺利 开展 。 数 据 的 备份 与 恢复 是 保证 信息 系统 安全 可 靠 的 基础 ,此 处 主要 介绍 网 
络 中 关键 业务 数据 的 备份 ,如 域 控制 器 数据 库 等 。 
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13.4.1 备份 活动 目录 数据 库 


活动 目录 数据 库 的 数据 量 虽 然 不 像 文件 服务 器 那样 巨大 ,但 却 十 分 重要 ,存储 着 网 络 上 
所 有 用 户 账户 以 及 计算 机 等 网 络 资源 的 信息 ,尤其 是 在 单 域 控制 器 的 网 络 中 ,其 重要 性 更 为 
突出 。 百 密 难 免 一 玖 ,没有 绝对 安全 的 系统 和 硬件 ,最 好 的 方法 就 是 防 患 于 未 然 。 对 于 活动 
目录 数据 库 而 言 , 就 是 时 刻 做 好 备份 工作 ,如 果 条 件 允 许 还 可 以 多 制作 几 份 备份 ,提高 安全 
性 。 万 一 发 生 严 重 故障 ,导致 数据 丢失 或 损坏 ,可 以 方便 地 从 备份 中 还 原 该 数据 。 

1. 安装 Windows Server Backup 组 件 

安装 Windows Server 2008 后 ,默认 没有 安装 Windows Server Backup 组 件 ,需要 管理 
员 在 “服务 器 管理 器 ”的 “功能 ”列表 中 ,单独 安装 该 组 件 。 选 择 Windows Server Backup 功 
能 时 ,需要 同时 选择 “Windows 恢复 光盘 ?功能 。 

(1) 打开 “服务 器 管理 "窗口 ,依次 选择 “服务 器 管理 器 ”一 “功能 "选项 ,显示 “服务 器 管 
理 器 ”窗口 。 单 击 “ 添 加 功能 ”链接 ,显示 如 图 13-36 所 示 的 “选择 功能 "对话 框 。 在 “功能 ” 列 
表 中 ,展开 Windows Server Backup 功能 ,选中 Windows Server Backup 以 及 “命令 行 工具 ” 
复 选 框 ,显示 “添加 功能 向 导 ” 对 话 框 。 提 示 将 安装 Windows PowerShell 组 件 。 单 击 “ 添 加 
必需 的 功能 "按钮 ,关闭 “添加 功能 向 导 ” 对 话 框 ,返回 到 “选择 功能 ”对话 框 。 


| 


是 香 添加 命令 行 工 具 所 需 的 功能 ? 
无 二 市 人 人 工具， 了 丰 已 区 所 吉 69 办 能 。 
2 中 


短 坟 
Windors PowerShall niers Porarshall 是 一 神 全 人行 界 … 
mm | 
加 需要 这 此 功能 ? F 


ET 
图 13-36 “选择 功能 ”对 话 框 


(2) 单 击 “ 下 一 步 ”按钮 ,显示 “确认 安装 选择 ”对 话 框 ,显示 需要 安装 的 功能 组 件 。 单 击 
“安装 ”按钮 ,安装 备份 功能 必须 的 组 件 。 安 装 完成 后 , 单 击 “ 关 闭 ” 按 钮 ,关闭 “添加 功能 向 
导 ”, 组 件 添加 成 功 。 

2. 创建 服务 器 完整 备份 

在 第 一 次 备份 Active Directory 服务 器 时 ,建议 使 用 完整 备份 的 方法 ,在 以 后 备份 过 程 
中 ,可 以 使 用 增 量 备份 的 方法 。 

(1) 打开 “服务 器 管理 "窗口 ,依次 选择 “服务 器 管理 器 ”一 “存储 ”一 Windows Server 
Backup 选项 ,显示 如 图 13-37 所 示 的 “服务 器 管理 器 ”窗口 。 
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文件 中 所作 下 看 帮助 0D 
了 EL 


四 Windows Server Back 
寺 全 可 以 使 用 此 应 用 程序 
[EEC 局 直 未 对 此 计算 机 上 醒 知 任 何 备份 * 请 使 用 备份 计 


图 13-37 “服务 器 管理 器 ”窗口 


(2) 在 窗口 右 侧 的 “操作 ”面板 中 , 单 击 “ 一 次 性 备份 "链接 ,启动 “一 次 性 备份 向 导 ”, 显 
示 如 图 13-38 所 示 的 “备份 选项 ”对 话 框 。 如 果 是 第 一 次 使 用 一 次 性 备份 向 导 , 建 议 选 中 “其 
他 选项 " 单 选 按钮 ,为 Windows Server 2008 创建 完整 备份 。 

(3) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 13-39 所 示 的 “选择 备份 配置 "对话 框 。 如 果 选 中 “ 整 
个 服务 器 (推荐 )" 单 选 按 钮 . 则 备份 当前 服务 器 所 有 磁盘 ; 如 果 选 中 “ 自 定义 ” 单 选 按钮 , 允 
许 管 理 员 定 制备 份 内 容 。 


CEEXTETTTI 对 


Ll| 
备份 选项 选择 备份 配置 
a 机 A 三 整个 服务 器 ( 推 苦 ) 0) 
es . 7 i wt re 剖 份 大 小 S63 8 bi ” 
SE Pe ET ee “Sexe, xpmzag. 

De 

EE 

EY Ci 了 有 Bi i= OE 人 放 了 
图 13-38 “备份 选项 ”对话 框 图 13-39 “选择 备份 配置 "对 话 框 


(4) 单 击 “下 一 步 " 按 钮 ,显示 如 图 13-40 所 示 的 “选择 要 备份 的 项 ”对 话 框 。 默 认 在 备 
份 列表 中 没有 任何 备份 项 目 ,需要 管理 员 选 择 所 要 备份 的 项 目 。 

(5) 单 击 “ 添 加 项 ”按钮 ,显示 如 图 13-41 所 示 的 “选择 项 ”对 话 框 。 在 可 备份 列表 中 , 选 
中 所 要 备份 的 项 目 , 这 里 选中 “ 裸 机 恢复 " 复 选 框 ,此 时 会 自动 选中 “系统 状态 ”“ 系 统 保留 ” 
和 “本 地 磁盘 (C:)" 复 选 框 。 

(6) 单 击 “ 确 定 ” 按 钮 ,返回 “选择 要 备份 的 项 ”对 话 框 。 如 果 想 要 删除 某 备 份 项 目 ,可 以 
选中 该 项 目 , 然 后 单 击 “ 删 除 项 ”按钮 即 可 。 单 击 “ 高 级 ”按钮 ,显示 如 图 13-42 所 示 的 “高 级 
设置 ”对话 框 。 单 击 “ 添 加 删除 ”按钮 ,添加 所 要 删除 的 项 目 即 可 。 


图 13-40 “选择 要 备份 的 项 ”对话 框 图 13-41 “选择 项 ”对 话 框 


(7) 切换 到 如 图 13-43 所 示 的 “VSS 设置 "选项 卡 , 如 果 使 用 第 三 方 的 备份 软件 ,建议 选 
中 “VSS 副本 备份 ” 单 选 按钮 。 如 果 使 用 Windows Server 2008 提供 的 备份 程序 ,建议 选中 
“VSS 完整 备份 " 单 选 按钮 。 


图 13-42 “高 级 设置 ?对 话 框 图 13-43 “VSS 设置 ?选项 卡 


(8) 单 击 “ 确 定 ” 按 钮 ,返回 “选择 要 备份 的 项 ”对 话 框 , 单 击 “ 下 一 步 ” 按 钮 ,显示 如 
图 13-44 所 示 的 “指定 目标 类 型 ”对话 框 。 一 次 性 备份 向 导 支 持 本 地 和 网 络 UNC 模式 存储 
数据 ,同时 支持 本 地 DVD 驱动 器 ,可 以 将 备份 直接 写 到 DVD 备份 设备 中 ,这 里 选择 目标 类 
型 为 “本 地 驱动 器 ”。 

(9) 单 击 “ 下 一 步 ”按钮 ,显示 如 图 13-45 所 示 的 “选择 备份 目标 ”对 话 框 。 选 择 用 于 备 
份 的 卷 , 在 “备份 目标 ”下 拉 列 表 框 中 ,选择 “本 地 磁盘 (F)” 选 项 。 

(10) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 13-46 所 示 的 “确认 ”对 话 框 ,显示 备份 设置 参数 。 

(11) 单 击 “ 备 份 ”按钮 ,开始 执行 Windows Server 2008 系统 备份 ,显示 如 图 13-47 所 示 
的 “备份 进度 ”对 话 框 。 


二 
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| 
上 指定 目标 类 型 
加 OU 
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图 13-44 “指定 目标 类 型 "对 话 框 图 13-45 “选择 备份 目标 ”对 话 框 
ETE 世 划 
全 确认 sD 备份 进度 
备份 各 硕 现在 在 撕 定 的 目 祭 中 创建 和 健 存 以 . 到 人 过 而 
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| rr 
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图 13-46 “确认 ”对 话 框 图 13-47 “备份 进度 ”对 话 框 


(12) 单 击 “ 关 闭 ” 按 钮 ,关闭 一 次 性 备份 向 导 , 备 份 过 程 在 后 台 执 行 , 管 理 员 可 以 在 “ 服 
务 器 管理 器 "中 查看 备份 进程 ,如 图 13-48 所 示 。 
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13-48 备份 进程 
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(13) 备份 完成 后 ,在 “服务 器 管理 器 ”窗口 显示 备份 成 功 信息 。 

3. 制定 备份 计划 

Windows Server 2008 操作 系统 提供 计划 备份 向 导 , 帮 助 管理 员 自 动 完成 某 些 备份 任 
务 ,实现 备份 自动 化 。 

(1) 打开 Windows Server Backup 窗口 ,在 窗口 右 侧 的 “操作 ”面板 中 , 单 击 “ 备 份 计划 ” 
链接 ,启动 备份 计划 向 导 , 直 接 单 击 * 下 一 步 ?按钮 ,显示 如 图 13-49 所 示 的 “选择 备份 配置 ” 
对 话 框 , 选 择 需要 备份 的 设备 类 型 ,这 里 选中 * 自 定义 ” 单 选 按钮 。 

(2) 单 击 “下 一 步 ? 按 钮 ,显示 如 图 13-50 所 示 的 “选择 要 备份 的 项 ”对 话 框 。 选 择 需 要 
备份 的 目标 项 目 , 具 体 设置 内 容 同 “ 一 次 性 备份 ”的 操作 ,这 里 就 不 再 袭 述 。 


| 划 | 
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图 13-49 “选择 备份 配置 "对 话 框 图 13-50 “选择 要 备份 的 项 ”对 话 框 


(3) 单 击 “下 一 步 按 钮 ,显示 如 图 13-51 所 示 的 “指定 备份 时 间 ” 对 话 框 ,设置 备份 计划 
的 执行 周期 。 计 划 提 供 每 日 一 次 和 每 日 多 次 两 种 模式 。 每 日 一 次 每 天 仅 执行 一 次 制定 的 备 
份 ,每 日 多 次 在 每 天 的 不 同时 刻 执行 多 次 系统 备份 。 选 中 “每 天 多 次 ” 单 选 按钮 ,在 “可 用 时 
间 ” 列 表 中 ,选择 需要 执行 备份 的 时 间 。 单 击 “ 添 加 ”按钮 ,将 选择 的 时 间 添 加 到 “已 计划 的 时 
间 ” 列 表 中 。 重 复 操作 ,设置 备份 周期 。 

(4) 单 击 “下 一 步 "按钮 ,显示 如 图 13-52 所 示 的 “指定 目标 类 型 ”对话 框 ,根据 需要 选择 
所 要 备份 到 的 目标 位 置 。 


cE sn | Sm] se" | mn cE smsm] a | my 


图 13-51 “指定 备份 时 间 ” 对 话 框 图 13-52 “指定 目标 类 型 ”对话 框 


. 四 aad 
第 13 章 配置 网 络 可 靠 性 。 451 


中 备份 到 专用 于 备份 的 磁盘 : 使 用 专用 的 磁盘 作为 备份 磁盘 。 需 要 注意 的 是 ,如 果 选 
择 该 选项 ,在 设置 磁盘 后 ,会 对 磁盘 进行 格式 化 。 

@ 备份 到 卷 : 将 数据 备份 到 当前 系统 的 卷 中 。 

@ 备份 到 共享 网 络 文件 夹 : 将 数据 备份 到 网 络 中 的 其 他 共享 网 络 文件 夹 中 。 

(5) 单 击 “下 一 步 ?按钮 ,显示 如 图 13-53 所 示 的 “选择 目标 磁盘 "对话 框 。 单 击 “ 显 示 所 
有 可 用 磁盘 ”按钮 ,打开 “显示 所 有 可 用 磁盘 ”对 话 框 ,在 “可 用 磁盘 ”列表 中 ,选择 所 要 备份 的 
目标 磁盘 。 


四 
者 选择 目标 磁盘 

An i 
地 间 人 村 

过 反 要 各 全 EL 

要 守则 二 

要 证 目 村 型 
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图 13-53 “选择 目标 磁盘 ”对 话 框 


(6) 单 击 “ 确 定 ” 按 钮 ,返回 “选择 目标 磁盘 ”对 话 框 ,并 选中 磁盘 前 面 的 复 选 框 。 单 击 
“下 一 步 ” 按 钮 ,显示 如 图 13-54 所 示 的 Windows Server Backup 对 话 框 。 向 导 完 成 后 ,将 格 
式 化 所 选择 的 磁盘 ,并 且 在 Windows 资源 管理 器 中 ,将 不 显示 作为 备份 设备 的 磁盘 。 

(7) 单 击 “ 是 ”按钮 ,显示 如 图 13-55 所 示 的 “确认 ”对 话 框 ,显示 备份 计划 设置 参数 。 
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图 13-54 Windows Server Backup 对 话 框 图 13-55 “确认 ”对 话 框 
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(8) 单 击 “ 完 成 ”按钮 ,显示 如 图 13-56 所 示 的 “摘要 ”对 话 框 , 在 此 过 程 中 将 格式 化 目标 
磁盘 以 及 创建 备份 计划 。 


(9) 单 击 “ 关 闭 ” 


拓 太 已 成 轨 首 从 计划 
第 -个 计 人 9 许 份 和 发生 于 z009/3114 21.00。 
请 友 保 要 用 于 存 结 计划 和 从 9 已 时 ?到 此 计算机， 并 且 梧 用 


上 -中 | | CG 


图 13-56 “摘要 ”对 话 框 


安 钮 ,关闭 “备份 计划 ”向 导 , 完 成 备份 计划 的 创建 


13.4.2 还 原 活 动 目录 数据 库 


器 的 数据 


环境 中 , 活 


车 损坏 或 数据 丢失 ,将 直接 影响 到 网 络 功 能 的 提供 ,尤其 是 在 单 域 网 络 


动 目录 数据 库 的 备份 显得 更 为 重要 。 如 果 仅 是 数据 库 故障 , 则 直接 使 用 备份 文件 
恢复 数据 库 即 可 。 需 要 注 


意 的 是 ,活动 目录 数据 库 的 恢复 ,需要 在 “目录 服务 还 原 模式 ”下 完 


二 
。 需 要 


注意 的 是 ,只 有 安装 Windows Server Backup 中 的 命令 行 工具 后 ,启动 菜单 中 才 会 出 现 “ 目 


录 服 务 还 原 模式 ”。 


Windows Server 2008 
选择 。) 


C640x480) 
置 (高 级 ) 


为 Windows 〈 仅 适用 于 windows 域 控制 器 )。 


图 13-57 “高 级 启动 选项 ”画面 
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(2) 选择 “目录 服务 还 原 模式 ”并 按 Enter 键 ,开始 启动 系统 。 需 要 注意 的 是 ,必须 以 本 
地 系统 管理 员 账 户 登录 系统 ,如 图 13-58 所 示 。 此 时 的 域 控制 器 是 不 可 用 的 。 
(3) 启动 到 Windows 安全 模式 后 ,打开 “命令 提示 符 ” 窗 口 , 输 入 如 下 命令 : 


wbadmin get versions 


按 Enter 键 ,显示 如 图 13-59 所 示 的 结果 。 人 恢复 目录 数据 库 时 是 通过 每 次 备份 的 版 本 
信息 确定 的 ,默认 格式 为 : mm/dd/yyyy-hh:mm, 如 06/01/2008-08:49。 


本 AD1 
加 何人 全 和 具 作 城 ) 


图 13-58 登录 系统 图 13-59 查看 备份 版 本 标识 


(4) 继续 输入 如 下 命令 : 


wbadmin start systemstaterecovery-version: 09/14/2009-08:29 


按 Enter 键 运 行 ,提示 网 络 管理 员 是 否 要 执行 系统 状态 恢复 。 
(5) 根据 提示 输入 Y 并 按 Enter 键 ,确认 要 执行 系统 状态 恢复 ,提示 网 络 管理 员 使 用 的 


复制 引擎 类 型 。 如 果 复 制 引擎 类 型 不 同 , 系 统 状态 将 不 能 正确 恢复 。 

(6) 恢复 完成 后 ,提示 用 户 需要 重新 启动 计算 机 才能 使 恢复 生效 。 需 要 注意 的 是 ,由 于 
被 恢复 的 系统 文件 比较 多 ,重新 启动 服务 器 可 能 需要 较 长 的 时 间 。 

(7) 重新 启动 完成 后 ,提示 系统 状态 已 经 成 功 恢复 , 按 Enter 键 继续 即 可 。 

活动 目录 数据 库 的 恢复 需要 一 个 良好 的 备份 . 即 备份 时 间 离 当前 时 间 不 超过 系统 默认 
的 时 间 限 制 。 当 活动 目录 中 的 一 个 对 象 被 删除 时 ,并 不 是 彻底 地 消失 。 事 实 上 ,这 时 的 对 象 
成 为 一 个 临时 被 标记 为 * 摹 碑 ” 的 记录 。 一 定时 间 之 后 ,系统 才 会 将 标记 为 “墓碑 ”的 记录 永 
久 删 除 。 因 此 ,在 “墓碑 ”记录 被 删除 之 前 ,管理 员 仍然 可 以 通过 数据 库 备 份 恢复 被 删除 用 户 
的 账户 信息 。 对 于 超过 时 间 限 制 的 备份 ,即使 能 够 恢复 , 域 中 的 客户 端 信息 也 将 失去 同步 功 
能 ,彼此 之 间 的 安全 通道 将 被 破坏 。 

提示 : 在 Windows Server 2003 系统 中 “墓碑 ”记录 的 默认 保留 时 间 为 60 天 ,而 在 
Windows Server 2008 和 Windows Server 2003 SP1 系统 中 默认 为 180 天 。 若 想 恢复 任意 
时 间 的 活动 目录 数据 库 备 份 , 必 须 将 "墓碑 ”记录 保留 足够 长 的 时 间 。 

(1) 依次 选择 “开始 ”一 “管理 工具 ”一 ADSI Edit 选项 ,打开 “ADSI Edit” 窗 口 。Active 
Directory 服务 界面 编辑 器 (ADSI 编辑 ) 是 一 个 轻型 目录 访问 协议 (LDAP) 编 辑 器 ,类 似 于 
组 策略 编辑 器 和 注册 表 编 辑 器 ,可 用 来 管理 Active Directory 域 服务 中 的 对 象 和 属性 。 
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(2) 右 击 ADSI Edit 并 在 快捷 菜单 中 选择 “连接 到 ”选项 ,显示 如 图 13-60 所 示 的 “连接 
设置 ?对 话 框 。 在 “连接 点 ”选项 区 中 ,选中 * 选 择 一 个 已 知 命名 上 下 文 ” 单 选 按钮 ,并 选择 下 
拉 列 表 框 中 的 “配置 ”选项 。 在 “计算 机 ”选项 区 中 ,系统 默认 选中 “默认 (您 登录 到 的 域 或 服 
务 器 )" 单 选 按钮 ,如 果 需 要 连接 其 他 服务 器 , 则 可 以 选中 “选择 或 键入 域 或 服务 器 " 单 选 按 
钮 ,选择 服务 器 并 指定 通信 端口 。 


Ei| 
文件 PF) 报 作 和 ) 查看 W) 帮助 00 
97 2 EE > 
EL- 
ATST Edit 一 一 一 一 一 一 一 一 一 
路 径 P)， 阿 全-7IAD1 eoolpen ne 限于 
-== el 
这 二 针 入 本 分 六 各 名 上 下 文 0) 二 这 
人 选 和 个 已 知 辣 名 上 下 文风- A 


7 默认 ( 疙 王 录 和 3 或 服务 器 ) 0) 
厂 使 用 基于 SSL 的 加 二 0) 


总 没 m) CJ] _ 


图 13-60 “连接 设置 "对 话 框 


(3) 单 击 “ 确 定 ” 按 钮 ,返回 ADSI Edit 窗口 。 依 次 展开 “配置 [LADI. coolpen. netj "一 CN 一 
Configuration, DC = coolpen, DC = net 一 CN = Services > CN= Windows NT 一 CN = 
Directory Service 选项 。 右 击 CN 三 Directory Service, 选 择 快捷 菜单 中 的 “属性 ”选项 ,显示 
如 图 13-61 所 示 的 “CN 三 Directory Service 属性 ”对 话 框 。 

(4) 选中 TombstoneLifetime 并 单 击 “ 编 辑 ” 按 钮 ,显示 如 图 13-62 所 示 的 “整数 属性 编 
辑 器 ”对 话 框 。 在 “ 值 ” 文 本 框 中 ,输入 新 的 “墓碑 ”生存 时 间 即 可 ,如 3600, 上 默认 时 间 单 位 
为 天 。 


文件 思 。 损人 ON 查看 M)。 划 助 00 


到 | 
4 属性 内 esbstmelifetise 
! El 四 时 
CEJ ww | |_ 现 0 | Cj _™ | 


图 13-61 “CN 王 Directory Service 属性 ”对 话 框 图 13-62 “整数 属性 编辑 器 ”对话 框 
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(5) 连续 单 击 “ 确 定 ” 按 钮 保存 设置 ,完成 墓碑 生存 时 间 的 修改 。 
13.4.3 备份 SQL Server 数据 库 


目前 ,该 企业 网 络 中 使 用 的 数据 库 服 务 器 是 Microsoft 的 SQL Server 2005。SQL 
Server 支持 多 种 备份 机 制 。 完 全 备份 /恢复 数据 库 , 是 网 络 管理 员 必 须 掌 握 数据 安全 保护 技 
术 。 如 果 数 据 量 不 是 很 大 的 业务 应 用 ,建议 网 络 管理 员 经 常 完全 备份 数据 库 。 

1. 完全 备份 数据 库 

完全 备份 数据 库 就 是 将 数据 库 中 所 有 数据 文件 全 部 复制 ,包括 完全 数据 库 备份 过 程 中 
数据 库 的 所 有 行为 。 所 有 用 户 数据 以 及 所 有 数据 库 对 象 ,包括 系统 表 、 索 引 和 用 户 自 定义 
表 。 对 于 小 型 数据 库 , 这 种 方法 是 可 行 的 。 但 对 于 中 型 或 者 大 型 的 数据 库 ,这 种 备份 方式 需 
要 花费 较 多 的 备份 时 间 以 及 存储 空间 。 

(1) 在 SQL Server Management Studio 控制 台中 ,选择 希望 备份 的 数据 库 对 象 ,例如 
ReportServerTempDB, 右 击 ReportServerTempDB, 依 次 选择 “任务 ”一 “备份 ”选项 ,显示 如 
图 13-63 所 示 的 “备份 数据 库 -ReportServerTempDB” 对 话 框 。 在 “ 源 ” 选 项 区 域 中 ,选择 “ 备 
份 类 型 "下 拉 列 表 框 中 的 “完整 ”, 在 “备份 组 件 ” 选 项 区 域 中 选中 “数据 库 " 单 选 按钮 。 在 “ 备 
份 集 ” 选 项 区 域 中 ,指定 备份 集 的 相关 信息 ,包括 “名 称 ”“ 说 明 ” 和 “备份 集 过 期 时 间 ”。 如 果 
设置 过 期 时 间 的 值 为 0, 则 表示 始终 不 过 期 。 在 “目标 ?选项 区 域 中 ,选择 保存 数据 库 备份 的 
目标 路 径 。 如 果 服 务 器 上 安装 了 磁带 设备 , 则 磁带 选项 可 选 。 
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图 13-63 “备份 数据 库 -ReportServerTempDB” 对 话 框 


(2) 单 击 “ 添 加 ”按钮 ,显示 如 图 13-64 所 示 的 “选择 备份 目标 ”对 话 框 。 在 “文件 名 ” 编 
辑 框 中 ,输入 数据 库 备 份 文件 存放 的 目标 文件 夹 。 

(3) 单 击 …” 按 钮 ,显示 如 图 13-65 所 示 的 “定位 数据 库 文件 ”对 话 框 ,选择 备份 数据 的 路 
径 , 例 如 D:\ ,根据 实际 情况 在 “文件 名 ”文本 框 中 输入 文件 名 称 ,例如 ReportservertempDB- 
081219。 在 “文件 类 型 "下拉 列 表 框 中 ,保持 默认 设置 即 可 。 


图 13-64 “选择 备份 目标 ”对 话 框 图 13-65 “定位 数据 库 文件 "对话 框 


(4) 连续 单 击 "确定 ”按钮 ,返回 到 “备份 数据 库 -ReportServerTempDB” 对 话 框 ,删除 默 
认 的 保存 备份 路 径 , 设 置 完 成 的 参数 如 图 13-66 所 示 。 


图 13-66 “备份 数据 库 -ReportServerTempDB” 对 话 框 


(5) 单 击 “ 确 定 ” 按 钮 ,开始 执行 数据 库 备份 。 数 据 库 备 份 完成 后 ,显示 如 图 13-67 所 示 
的 Microsoft SQL Server Management Studio 对 话 框 。 

2. 创建 自动 备份 数据 库 计 划 

Microsoft SQL Server 2005 数据 库 提供 了 备份 策略 ,可 以 帮助 网 络 管理 员 完 成 数据 库 
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图 13-67 Microsoft SQL Server Management Studio 对 话 框 


和 事务 日 志 的 自动 备份 ,同时 可 以 完成 数据 库 和 事务 日 志 的 完整 性 自动 验证 。 这 里 将 通过 
Microsoft SQL Server 2005 的 维护 计划 向 导 , 建 立 数据 库 和 事务 日 志 的 自动 备份 策略 ,策略 
内 容 如 下 : 每 天 00:30:00 完整 备份 数据 库 , 每 天 每 小 时 自动 备份 事务 日 志 。 

(1) 在 Microsoft SQL Server Management Studio 控制 台中 ,依次 展开 LXH-SQL 一 
“管理 ”>“ 维 护 计 划 ” 选 项 ,如 图 13-68 所 示 。 
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图 13-68 “维护 计划 ”窗口 


(2) 右 击 “维护 计划 ”, 在 快捷 菜单 中 选择 “维护 计划 向 导 ? 选 项 ,启动 维护 计划 向 导 , 显 
示 如 图 13-69 所 示 的 “SQL Server 维护 计划 向 导 ” 对 话 框 。 

注意 : 执行 此 操作 前 ,必须 确保 已 经 启用 "SQL Server 代理 ”服务 ,否则 将 无 法 启动 维 
护 计划 向 导 。 

(3) 单 击 “ 下 一 步 ” 按 钮 ,显示 如 图 13-70 所 示 的 “选择 计划 属性 ”对 话 框 ,在 “名 称 ” 文 本 
框 中 ,输入 当前 计划 的 名 称 ,也 可 以 使 用 默认 名 称 , 并 选中 “整个 计划 统筹 安排 或 无 计划 ” 单 
选 按钮 。 

(4) 单 击 “更 改 ” 按 钮 ,显示 如 图 13-71 所 示 的 “作业 计划 属性 -MaintenancePlan” 对 话 
框 。 在 “计划 类 型 "下 拉 列 表 框 中 ,选择 计划 类 型 为 “重复 执行 ”选项 ,选中 “已 启用 ” 复 选 框 。 
在 “频率 ”选项 区 域 中 ,选择 作业 的 执行 方式 为 “每 天 "选项, 即 每 天 执行 数据 库 备份 计划 。 执 
行 间 隔 为 “1” 天 。 在 “每 天 频率 ”选项 区 域 中 ,选中 “执行 一 次 ,时间 为 : " 单 选 按钮 ,每 天 数据 
库 备 份 的 开始 时 间 为 “00:30:00”。 在 “持续 时 间 ” 选 项 区 域 中 ,默认 “开始 日 期 "是 该 作业 的 
创建 日 期 ; 默认 “结束 日 期 "是 选择 “无 结束 日 期 ,除非 网 络 管理 员 手 动 停止 该 作业 ,否则 该 
作业 将 持续 执行 。 设 置 完 成 后 , 单 击 “ 确 定 ” 按 钮 ,返回 “选择 计划 属性 ”对 话 框 。 


图 13-71 “作业 计划 属性 -MaintenancePlan” 对 话 框 


提示 : 网 络 管理 员 根据 实际 情况 调整 “作业 计划 ”的 执行 时 间 , 以 及 执行 的 频率 、 间 隔 
时 间 。 

(5) 单 击 “下 一 步 "按钮 ,显示 如 图 13-72 所 示 的 “选择 维护 任务 ”对 话 框 。 在 “选择 一 项 
或 多 项 维护 任务 ”下 拉 列 表 框 中 ,选择 维护 任务 ,例如 ,选中 “备份 数据 库 ( 完 整 )" 维 护 任务 。 
此 时 ,可 以 在 下 方 文本 框 中 查看 所 选 维护 任务 的 描述 信息 。 

(6) 单 击 “下 一 步 ?按钮 ,显示 如 图 13-73 所 示 的 “选择 维护 任务 顺序 ”对 话 框 。 如 果 在 
“选择 执行 任务 的 顺序 ”列表 中 ,包含 多 个 维护 任务 ,选择 需要 调整 顺序 的 维护 任务 , 单 击 * 上 
移 " 或 者 “下 移 ” 按 钮 , 即 可 调整 维护 任务 的 执行 顺序 。 

提示 : 数据 库 维护 任务 执行 顺序 有 先后 之 分 ,在 设置 执行 顺序 的 时 候 , 需 要 确认 维护 任 
务 的 目的 ,然后 调整 执行 的 顺序 。 

(7) 单 击 “下 一 步 "按钮 ,显示 如 图 13-74 所 示 的 “定义 “备份 数据 库 ( 完 整 ) 任务 ?对话 
框 ,此 时 尚未 选择 维护 任务 的 操作 对 象 。 
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图 13-72 “选择 维护 任务 "对 话 框 


图 13-73 “选择 维护 任务 顺序 ”对 话 框 


(8) 单 击 “ 数 据 库 ” 下 拉 按 钮 ,显示 如 图 13-75 所 示 的 数据 库 选 择 下 拉 列 表 框 ,选中 “以 下 数 
据 库 " 单 选 按钮 ,并 指定 希望 执行 计划 任务 的 数据 库 对 象 ,此 处 以 ReportServerTempDB 数据 库 


为 例 。 
GETHEED rE] 
定义 “备份 数据 库 ( 完 整 ) ”任务 
爸 坎 护 作 务 \ 和 起。 
00 


对 提 库 D) 
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三 币 殷 应 GD) 


所 有用 户 委 所 庄 fester 、 nodel 、 wns、 tenpah 3H) 0 


< 上 -So) 0 be 


13-74 “定义 “备份 数据 库 ( 完 整 ) ?任务 ” 对 话 框 


图 13-75 ”数据 库 下 拉 列 表 框 


(9) 单 击 “ 确 定 ” 按 钮 ,返回 如 图 13-76 所 示 的 “定义 “备份 数据 库 ( 完 整 )? 任 务 ” 对 话 框 。 
此 时 数据 库 ? 的 设置 自动 更 新 为 “特定 数据 库 ”。 该 对 话 框 中 的 配置 选项 与 备份 数据 库 时 


类 似 , 主 要 包括 设置 备份 过 期 时 间 、 保 存 路 径 等 ,此 处 不 再 歼 述 。 
(10) 单 击 * 下 一 步 ?按钮 ,显示 如 图 13-77 所 示 的 “选择 报告 选项 ”对 话 框 ,使 用 默认 设 


置 即 可 。 


(11) 单 击 “ 下 一 步 ?按钮 ,显示 如 图 13-78 所 示 的 “完成 该 向 导 ” 对 话 框 。 


Tr ay 


外 计 划 
定义 “备份 数据 库 ( 圭 整 ) ”任务 
了 维护 任务 。 ` 禄 
Se 


图 13-76 “定义 “备份 数据 库 (完整 ) 任务 "对 话 框 图 13-77 “选择 报告 选项 "对 话 框 
(12) 单 击 “ 完 成 ”按钮 ,显示 如 图 13-79 所 示 的 “维护 计划 向 导 进度 "对话 框 。 


图 13-78 “完成 该 向 导 ” 对 话 框 图 13-79 “维护 计划 向 导 进 度 ” 对 话 框 
(13) 单 击 “ 关 闭 ” 按 钮 ,关闭 维护 计划 向 导 。 
13.4.4 恢复 SQL Server 数据 库 


在 恢复 数据 库 前 ,必须 确保 已 经 为 该 数据 库 创建 了 备份 。 这 里 仍 以 ReportServerTempDB 
数据 库 为 例 ,介绍 如 何 恢复 完全 备份 的 数据 库 。 

(1) 在 Microsoft SQL Server Management Studio 控制 台中 ,选择 想 要 恢复 的 数据 库 对 
象 。 右 击 数据 库 名 ,依次 选择 快捷 菜单 中 的 “任务 ”一 “还 原 ” 一 “数据 库 ” 选 项 ,显示 如 
图 13-80 所 示 的 “还 原 数 据 库 -ReportServerTempDB” 对 话 框 。 在 “还 原 的 目标 ”选项 区 域 
中 ,设置 “目标 数据 库 ” 名 称 和 “目标 时 间 点 ”, 系 统 默 认 的 目标 时 间 点 为 “最 近 状 态 ”。 已 经 备 


份 的 数据 库 文件 模式 使 用 的 是 “完整 "模式 备份 ,因此 使 用 默认 值 即 可 。 在 “还 原 的 源 ” 选 项 
区 域 中 ,指定 用 于 还 原 备份 集 的 源 和 位 置 , 选 中 * 源 设备 " 单 选 按钮 。 


图 13-80 “还 原 数 据 库 -ReportServerTempDB” 对 话 框 


(2) 单 击 *…” 按 钮 ,显示 “指定 备份 "对话 框 。 单 击 “ 添 加 ”按钮 ,显示 如 图 13-81 所 示 的 
“定位 备份 文件 ”对 话 框 。 选 择 备份 的 数据 库 文件 ,例如 “D:\ ReportServerTempDB- 
081219. bak”。 


图 13-81 “定位 备份 文件 "对话 框 


(3) 连续 单 击 “确定 ”按钮 ,返回 到 “还 原 数 据 库 "窗口 ,设置 完成 的 还 原 参 数 如 图 13-82 所 


示 。 在 “选择 用 于 还 原 的 备份 集 "分 组 区 域 中 ,选择 需要 还 原 的 备份 文件 。 


图 13-82 “还 原 数 据 库 -ReportServerTempDB” 对 话 框 


(4) 在 “还 原 数据 库 ? 对 话 框 左 侧 的 “选择 页 "列表 中 , 单 击 “ 选 项 "选项 ,显示 如 图 13-83 所 


示 的 对 话 框 。 


图 13-83 “选项 ”选项 卡 


。® [a 
第 13 章 配置 网 络 可 靠 性 463 


(5) 在 “还 原 选项 ”选项 区 域 中 ,设置 还 原 的 选项 。 

QO 覆盖 现 有 数据 库 : 指定 还 原 操作 应 覆盖 所 有 现 有 数据 库 及 其 相关 文件 ,无论 是 否 存 
在 同名 的 其 他 数据 库 或 文件 。 

@ 保留 复制 设置 : 将 已 发 布 的 数据 库 还 原 到 创建 该 数据 库 的 服务 器 之 外 的 服务 器 时 ， 
保留 复制 设置 。 只 有 在 选中 * 回 滚 未 提交 的 事务 ,使 数据 库 处 于 可 以 使 用 的 状态 ” 单 选 按钮 
时 ,此 选项 才 可 用 。 

@ 还 原 每 个 备份 之 前 进行 提示 : 在 还 原 每 个 备份 设置 前 要 求 网 络 管理 员 进 行 确认 。 

@ 限制 访问 还 原 的 数据 库 : 还 原 的 数据 库 仅 供 db_owner、dbcreator 或 sysadmin 的 成 
员 使 用 。 

(6) 在 “将 数据 库 文件 还 原 为 ”选项 区 域 中 ,指定 文件 的 恢复 目标 文件 夹 。 默 认 情 况 下 ， 
显示 数据 库 的 原始 文件 名 ,网 络 管理 员 可 以 更 改 要 还 原 到 的 任意 目的 文件 的 路 径 及 名 称 。 

@ 原始 文件 名 : 源 备 份 文件 的 完整 路 径 。 

@ 还 原 为 : 要 还 原 的 数据 库 文件 完整 路 径 。 如 果 要 指定 新 的 还 原文 件 , 单 击 文本 框 ， 
输入 数据 库 文件 路 径 和 文件 名 。 

(7) 在 “恢复 状态 ”选项 区 域 中 ,设置 数据 库 的 恢复 状态 。 

QO 回 深 未 提交 的 事务 ,使 数据 库 处 于 可 以 使 用 的 状态 。 无 法 还 原 其 他 事务 日 志 。 
RESTORE WITH RECOVERY : 恢复 数据 库 。 上 默认 选择 此 项 。 

@ 不 对 数据 库 执行 任何 操作 ,不 回 滚 未 提交 的 事务 。 可 以 还 原 其 他 事务 日 志 。 
RESTORE WITH NORECOVERY: 使 数据 库 处 于 还 原状 态 。 若 要 恢复 数据 库 , 使 用 前 面 
的 RESTORE WITH RECOVERY 选项 来 执行 另 一 个 还 原 操 作 。 

@ 使 数据 库 处 于 只 读 模式 。 撤 销 未 提交 的 事务 ,但 将 撤销 操作 保存 在 备用 文件 中 ,以 
便 可 使 恢复 效果 逆转 。RESTORE WITH STANDBY: 使 数据 库 处 于 备用 状态 。 

(8) 单 击 “确定 按钮 ,开始 执行 还 原 操 作 , 数 据 库 恢复 完成 显示 如 图 13-84 所 示 的 
Microsoft SQL Server Management Studio 对 话 框 。 


图 13-84 Microsoft SQL Server Management Studio 对 话 框 


习题 


. 简 述 提高 企业 网 络 可 靠 性 的 常用 方法 。 

三 层 交 换 机 端口 的 EtherChannel 配置 和 Trunking 配置 分 别 实现 什么 功能 ? 
. 故障 转移 群集 技术 有 哪些 优点 ? 

. 简 述 网 络 负载 均衡 技术 的 功能 。 

. 简 述 群集 与 网 络 负载 均衡 的 异同 点 。 

. 配置 路 由 元 余 的 两 种 协议 ,实现 机 制 有 何不 同 ? 


-i 
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实验 : 配置 WWW 服务 器 群集 


实验 目的 : 

掌握 Windows Server 2008 故障 转移 群集 技术 的 部 署 与 应 用 。 

实验 内 容 : 

部 署 Windows Server 2008 故障 转移 群集 服务 器 ,对 基于 IIS 的 WWW 服务 器 进行 
群集 。 

(1) 安装 故障 转移 群集 服务 角色 。 

(2) 创建 故障 转移 群集 。 

(3) 至 少 准备 两 台 基 于 IIS 的 WWW 服务 器 。 

(4) 配置 Web 群集 。 

(5) 登录 客户 端 并 使 用 群集 后 的 地 址 访问 Web 站 点 。 


ob 
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